セキュリティ管理システム、セキュリティ管理方法、及びプログラム
【課題】セキュリティポリシーが適用される機器の負荷の低減と、セキュリティポリシーの更新処理の迅速化とを図り得る、セキュリティ管理システム、セキュリティ管理方法、及びプログラムを提供する。
【解決手段】計算機20は、保持されているデータの有効又は無効を示すフラグ29を有するキャッシュ26を備える。セキュリティサーバ10は、アクセス制御ルールを含むセキュリティポリシーを管理し、計算機20からの要求に応じて、対応するアクセス制御ルールを送信する。計算機20は、フラグが無効を示す場合、セキュリティサーバ10に、アクセス制御ルールの送信を要求し、キャッシュ26に、セキュリティサーバ10から送信されたアクセス制御ルール28を保持する。セキュリティサーバ10は、セキュリティポリシーを更新する場合、計算機20に、フラグ26が無効を示すように指示を与える。
【解決手段】計算機20は、保持されているデータの有効又は無効を示すフラグ29を有するキャッシュ26を備える。セキュリティサーバ10は、アクセス制御ルールを含むセキュリティポリシーを管理し、計算機20からの要求に応じて、対応するアクセス制御ルールを送信する。計算機20は、フラグが無効を示す場合、セキュリティサーバ10に、アクセス制御ルールの送信を要求し、キャッシュ26に、セキュリティサーバ10から送信されたアクセス制御ルール28を保持する。セキュリティサーバ10は、セキュリティポリシーを更新する場合、計算機20に、フラグ26が無効を示すように指示を与える。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、セキュリティ管理システム、セキュリティ管理方法、及びプログラムに関する。
【背景技術】
【0002】
従来から、一部のOS(Operating System)には、強制アクセス制御が組み込まれている。OSの強制アクセス制御は、正当な権限無しでは情報資産を参照及び更新できないようにできるため、システムのセキュリティを保全する上で、非常に有益な機能である。とりわけ、多数の利用者が共有の計算機資源を利用する環境、典型的には「SaaS」または「PaaS」と呼ばれる環境においては、強制アクセス制御を用いることにより、効果的に情報資産へのアクセスの正当性を担保する事ができる。
【0003】
また、強制アクセス制御メカニズムを正しく動作させるためには、誰にどのような操作を許可または禁止させるかを記述した「セキュリティポリシー」が正しく設定されている必要がある。更に、一台の計算機で運用する場合とは異なり、多数の計算機から成るクラスタで強制アクセス制御メカニズムを利用する際には、これら計算機の間でセキュリティポリシーの一貫性を少ない労力で保持することも必要となる。
【0004】
このような要求に対応するため、Yum(Yellowdog Updater Modified)、又はApt(Advanced Packaging Took)といった、パッケージ管理ツールを用いた方法が採用されている。このような方法では、パッケージ管理ツールによって、セキュリティポリシーを含むパッケージが更新され、更に、クラスタ内の計算機全体にセキュリティポリシーが配布される。
【0005】
但し、上記の方法では、クラスタ内の各計算機の間でパッケージを更新するタイミングを同期することが難しいという問題がある。このため、場合によっては、クラスタ内の一部の計算機では最新のセキュリティポリシーが適用されているものの、それ以外の計算機では古いセキュリティポリシーが適用されているといった、危険な状態が発生する可能性がある。
【0006】
このような問題を解決するため、セキュリティポリシー配布用のサーバを設置し、このサーバからクラスタ内の各計算機にセキュリティポリシーを配布する技術が提案されている(例えば、特許文献1、特許文献2、及び特許文献3参照。)。また、特許文献1〜3に開示された技術では、配布されるセキュリティポリシーに対して、場合によっては、計算機に応じたカスタマイズが加える場合もある。特許文献1〜3に開示された技術によれば、上述の要求に対応しつつ、上記の問題を解決することができると考えられる。
【先行技術文献】
【特許文献】
【0007】
【特許文献1】特開2004−094405号公報
【特許文献2】特開2006−146891号後方
【特許文献3】特開2006−243791号公報
【発明の概要】
【発明が解決しようとする課題】
【0008】
ところで、セキュリティポリシーとはアクセス制御ルールの集合であるが、ある特定の計算機がセキュリティポリシーで定義されている全てのアクセス制御ルールを満遍なく利用するという事は稀であり、多くの場合は、セキュリティポリシーの一部しか利用しない。例えば、セキュリティポリシーが、ログインユーザ向け、Webサーバ向け、DBサーバ向け、それぞれに対するアクセス制御ルールを含んでいるとする。この場合、Webサーバとして利用される計算機は、Webサーバ向けのアクセス制御ルールしか利用せず、DBサーバとして利用される計算機は、DBサーバ向けのアクセス制御ルールしか利用しない。
【0009】
これに対して、特許文献1〜特許文献3に開示された技術では、セキュリティポリシー配布用のサーバは、セキュリティポリシーの一貫性を保つために、クラスタ内の計算機それぞれに対して、セキュリティポリシー全体を配布している。このため、各計算機はセュリティポリシー全体を保持する必要があり、各計算機における負荷が大きいという問題が発生する。
【0010】
また、特許文献1〜特許文献3に開示された技術では、セキュリィティポリシーの更新の際、各計算機は、セキュリティポリシー全体を再ロードする必要がある。このため、更新処理に時間がかかり過ぎるという問題も発生する。
【0011】
本発明の目的の一例は、上記問題を解消し、セキュリティポリシーが適用される機器の負荷の低減と、セキュリティポリシーの更新処理の迅速化とを図り得る、セキュリティ管理システム、セキュリティ管理方法、及びプログラムを提供することにある。
【課題を解決するための手段】
【0012】
上記目的を達成するため、本発明の一側面におけるセキュリティ管理システムは、保持されているデータが有効及び無効のいずれであるかを示すフラグを有するキャッシュを備える、計算機と、
複数のアクセス制御ルールを含むセキュリティポリシーを管理し、且つ、前記計算機からの要求に応じて、前記計算機に対応するアクセス制御ルールを前記計算機に送信する、セキュリティサーバと、
を備え、
前記計算機は、前記フラグが無効を示す場合に、前記セキュリティサーバに、対応するアクセス制御ルールの送信を要求し、そして、前記キャッシュに、前記セキュリティサーバから送信されたアクセス制御ルールを保持し、
前記セキュリティサーバは、前記セキュリティポリシーを更新する場合に、前記計算機に、前記フラグが無効を示すように指示を与える、
ことを特徴とする。
【0013】
また、上記目的を達成するため、本発明の一側面におけるセキュリティ管理方法は、保持されているデータが有効及び無効のいずれであるかを示すフラグを有するキャッシュを備える計算機と、複数のアクセス制御ルールを含むセキュリティポリシーを管理するセキュリティサーバとを用いる、セキュリティ管理方法であって、
(a)前記フラグが無効を示す場合に、前記計算機によって、前記セキュリティサーバに、対応するアクセス制御ルールの送信を要求する、ステップと、
(b)前記セキュリティサーバによって、前記計算機からの要求に応じて、前記計算機に、対応するアクセス制御ルールを送信する、ステップと、
(c)前記計算機によって、前記キャッシュにおいて、前記セキュリティサーバから送信されたアクセス制御ルールを保持する、ステップと、
(d)前記セキュリティサーバによって、前記セキュリティポリシーを更新する場合に、前記計算機に、前記フラグが無効を示すように指示を与える、ステップと、
を有することを特徴とする。
【0014】
更に、上記目的を達成するため、本発明の一側面における第1のプログラムは、保持されているデータが有効及び無効のいずれであるかを示すフラグを有するキャッシュを備える計算機を対象として、コンピュータによって、複数のアクセス制御ルールを含むセキュリティポリシーの管理を行うためのプログラムであって、
前記コンピュータに、
(a)前記フラグが無効を示すことを条件に、前記計算機が、前記セキュリティサーバに、対応するアクセス制御ルールの送信を要求した場合に、前記計算機に対応するアクセス制御ルールを前記計算機に送信し、前記キャッシュに、送信されたアクセス制御ルールを保持させる、ステップと、
(b)前記セキュリティポリシーを更新する場合に、前記計算機に、前記フラグが無効を示すように指示を与える、ステップと、
を実行させることを特徴とする。
【0015】
また、上記目的を達成するため、本発明の一側面における第2のプログラムは、保持されているデータが有効及び無効のいずれであるかを示すフラグを有するキャッシュを備えたコンピュータにおいて、そのセキュリティを管理するためのプログラムであって、
前記コンピュータに、
(a)前記フラグが無効を示す場合に、複数のアクセス制御ルールを含むセキュリティポリシーを管理する前記セキュリティサーバに対して、対応するアクセス制御ルールの送信を要求し、そして、前記キャッシュに、送信されたアクセス制御ルールを保持する、ステップと、
(b)前記セキュリティサーバが、前記フラグが無効を示すように指示を与えた場合に、前記フラグを無効にする、ステップと、
を実行させることを特徴とする。
【発明の効果】
【0016】
以上のように、本発明における、セキュリティ管理システム、セキュリティ管理方法、及びプログラムによれば、セキュリティポリシーが適用される機器の負荷の低減と、セキュリティポリシーの更新処理の迅速化とを図ることができる。
【図面の簡単な説明】
【0017】
【図1】図1は、本発明の実施の形態1におけるセキュリティ管理システムの全体構成を示す全体図である。
【図2】図2は、本発明の実施の形態1におけるセキュリティ管理システムのセキュリティサーバ及び計算機それぞれの構成を示すブロック図である。
【図3】図3は、本発明の実施の形態1におけるセキュリティ管理システムのリクエスト要求時の動作を示すフロー図である。
【図4】図4は、本発明の実施の形態1におけるセキュリティ管理システムのセキュリティポリシー更新時の動作を示すフロー図である。
【図5】図5は、本発明の実施の形態2におけるセキュリティ管理システムの全体構成を示す全体図である。
【図6】図6は、本発明の実施の形態3におけるセキュリティ管理システムの全体構成を示す全体図である。
【図7】図7は、本発明の実施の形態1〜3にけるセキュリティサーバ又は計算機を実現するコンピュータの一例を示すブロック図である。
【発明を実施するための形態】
【0018】
(発明の概要)
本発明では、ある計算機クラスタにおいて、一連の強制アクセス制御ルール(「誰が」「何に」「何をできるか」という組み合わせ)の集合、即ち、セキュリティポリシーを、多数の計算機で共有する場合に、個々の計算機は、セキュリティポリシーの複製全てを持つ必要はない。代わりに、個々の計算機は、セキュリティサーバに対して、個々のアクセス制御ルールの送信を要求し、送信されてきたアクセス制御ルールを各計算機のキャッシュ領域に一時的に保存する。
【0019】
また、各計算機は、キャッシュのフラグが無効を示す場合(無効化フラグが設定されている場合)に、セキュリティサーバに対して、アクセス制御ルールの送信を求めるように構成されている。従って、セキュリティサーバは、セキュリティポリシーが新しいバージョンに更新された場合には、無効化を指示する指令(invalidation message)を計算機に送出するだけで良く、これにより、計算機は、更新が反映されたアクセス制御ルールの送信を要求する。
【0020】
このように、本発明では、セキュリティポリシーの複製全てが各計算機に送信されることはなく、そして、アクセス制御ルールはキャッシュにしか保持されないため、計算機における負荷が抑制される。更に、セキュリティポリシーの更新処理は迅速に行われることになる。
【0021】
また、本発明では、古い状態のアクセス制御ルールを保持したままシステムが動作する事はない。例えば、しばらくシステムがシャットダウン状態だったためにパッケージが最新ではなかった場合でも、計算機は、再起動時には、フラグが無効を示すため、セキュリティサーバに最新のアクセス制御ルールを問い合わせる。このため、新旧のセキュリティポリシーが混在する事態は避けられ、セキュリティサーバと、多数の計算機との間で、自動的にセキュリティポリシーの一貫性が保たれる。結果、セキュリティサーバにおけるポリシー管理の労力が、大きく削減される。
【0022】
(実施の形態1)
以下、本発明の実施の形態1における、セキュリティ管理システム、セキュリティ管理方法、及びプログラムについて、図1〜図3を参照しながら説明する。
【0023】
[システム構成]
最初に、図1及び図2を用いて、本実施の形態1におけるセキュリティ管理システム100の構成について説明する。図1は、本発明の実施の形態1におけるセキュリティ管理システムの全体構成を示す全体図である。図2は、本発明の実施の形態1におけるセキュリティ管理システムのセキュリティサーバ及び計算機それぞれの構成を示すブロック図である。
【0024】
図1に示すように、本実施の形態1におけるセキュリティ管理システム100は、強制アクセス制御ポリシーをオンデマンドで配布するシステムであり、セキュリティサーバ10と、計算機20とを備えている。セキュリティサーバ10と計算機20とは、LANなどのネットワークを介して接続されている。
【0025】
計算機20は、利用者が使用する端末、各種サーバなど、ネットワークを構成する機器である。図1の例では、3つの計算機20のみが図示されているが、本実施の形態1において、計算機20は1台以上であれば良く、計算機20の数は特に限定されるものではない。
【0026】
セキュリティサーバ10は、セキュリティポリシーを管理し、計算機からの要求に応じてアクセス制御ルールを返却する。セキュリティポリシーは、複数のアクセス制御ルールを含んでいる。本実施の形態1においては、「アクセス制御ルール」は、「利用者(の識別子)」、「計算機資源(の識別子)」、「許可または禁止される操作(の識別子)」の組み合わせによって構成されている。なお、どのような識別子を用いるかは、セキュリティモデルに依存する。本実施の形態では、例えば、既存の「ラベル」と呼ばれる機密階層及び機密区分の組み合わせを利用することができる。
【0027】
また、図2に示すように、計算機20は、アクセス制御判断部25と、キャッシュ26と、ネットワーク通信部27とを備えている。このうち、ネットワーク通信部27は、セキュリティサーバ10との間で通信を行うための通信インターフェイスである。
【0028】
キャッシュ26は、保持されているデータが有効及び無効のいずれであるかを示すフラグ29を有している。アクセス制御判断部25は、フラグ29が無効を示す場合に、セキュリティサーバ10に、対応するアクセス制御ルールの送信を要求する。そして、アクセス制御判断部25は、キャッシュ26に、セキュリティサーバ10から送信されたアクセス制御ルール28を格納し、これを保持させる。
【0029】
更に、図2に示すように、セキュリティサーバ10は、セキュリティサーバ応答部11と、セキュリティポリシー格納部12と、セキュリティポリシーロード部13と、ネットワーク通信部14とを備えている。このうち、ネットワーク通信部14は、計算機20との間で通信を行うための通信インターフェイスである。セキュリティポリシー格納部12は、多数のアクセス制御ルールで構成されたセキュリティポリシーを格納している。
【0030】
セキュリティサーバ応答部11は、計算機20からの要求に応じて、セキュリティポリシー格納部12を検索し、要求を行った計算機20に対応するアクセス制御ルールを特定する。そして、セキュリティサーバ応答部11は、ネットワーク通信部14を介して、特定したアクセス制御ルールを、要求を行った計算機20に送信する。
【0031】
また、セキュリティポリシーロード部13は、セキュリティポリシー格納部12に格納されているセキュリティポリシーを更新する。更に、セキュリティポリシーロード部13は、セキュリティポリシーを更新する場合、ネットワーク通信部14を介して、各計算機20に、フラグ29が無効を示すように指示を送出する。この結果、各計算機20は、新しいアクセス制御ルールの送信を要求するため、アクセス制御ルールが更新される。
【0032】
このように、セキュリティ管理システム100では、セキュリティポリシーの複製全てが各計算機20に送信されることはない。また、アクセス制御ルール28は、各計算機20のキャッシュ26に保持されるだけである。このため、計算機20における負荷が抑制される。更に、セキュリティポリシーの更新処理は迅速に行われる。
【0033】
ここで、計算機20の構成について更に具体的に説明する。本実施の形態2では、計算機20は、計算機カーネル部21を備えている。計算機カーネル部21は、計算機20にインプリメントされたOSによって構築されている。更に、計算機カーネル部21は、利用者リクエスト処理部22と、計算機資源23と、アクセス制御部24とを備えている。
【0034】
アクセス制御部24は、先に述べた、アクセス制御判断部25、キャッシュ26、及びネットワーク通信部27を備えている。キャッシュ26は、計算機20を構成するメモリ、又は計算機20のプロセッサに設けられたキャッシュメモリ等によって実現されている。
【0035】
計算機資源23は、計算機20によって管理されている、各種ファイル、ネットワークに接続するための情報等である。計算機20の利用者30は、計算機資源23を利用するため、例えば、Webブラウザ等が提供する入力画面を介してリクエストを入力する。これにより、利用者リクエストが発行され、これが利用者リクエスト処理部22に入力される。利用者リクエスト処理部22は、利用者リクエストを受け付け、処理を行う。
【0036】
具体的には、利用者リクエスト処理部22は、先ず、アクセス制御部24に対して、利用者30のリクエストの実行可否を問い合わせる。このとき、アクセス制御判断部25は、キャッシュに保持されているアクセス制御ルール28に基づき、当該リクエストに対して、「許可」又は「禁止」の意思決定を行い、結果を返却する。
【0037】
そして、利用者リクエスト処理部22は、返却された結果が「許可」である場合は、計算機資源23にアクセスし、アクセスによって得られた結果を利用者30に返却する。一方、利用者リクエスト処理部22は、返却された結果が「禁止」である場合は、それ以上処理を実行せず、利用者30にエラーを返却する。
【0038】
このように、計算機20は、キャッシュ26に保持されているアクセス制御ルール28に従って、利用者30による操作に対して制限を与えることができ、セキュリティが確保されることになる。
【0039】
[システム動作]
次に、本発明の実施の形態1におけるセキュリティ管理システム100の動作について図3及び図4を用いて説明する。以下の説明においては、適宜図1及び図2を参酌する。また、本実施の形態1では、セキュリティ管理システム100を動作させることによって、セキュリティ管理方法が実施される。よって、本実施の形態におけるセキュリティ管理方法の説明は、以下のセキュリティ管理システム100の動作説明に代える。
【0040】
最初に、図3を用いて、利用者30からリクエストが要求された場合の処理について説明する。図3は、本発明の実施の形態1におけるセキュリティ管理システムのリクエスト要求時の動作を示すフロー図である。
【0041】
先ず、利用者30が、入力画面からリクエストを要求すると、利用者リクエストが発行される。そして、図3に示すように、利用者リクエスト処理部22が、利用者リクエストを受け付ける(ステップA1)。また、利用者リクエスト処理部22は、アクセス制御部24に対して、利用者リクエストの実行可否を問い合わせる。
【0042】
次に、利用者リクエスト処理部22によって、利用者リクエストの実行可否が問い合わせられると、アクセス制御判断部25は、キャッシュ26のフラグ29が有効を示しているかどうかを確認する(ステップA2)。
【0043】
ステップA2の確認の結果、フラグ29が有効を示していない場合、即ち、無効化フラグがセットされている場合は、アクセス制御判断部25は、キャッシュ26に保持されているデータの内容を全て消去し、無効化フラグをクリアする(ステップA5)。初期状態では、キャッシュ26のフラグ29は無効を示すようにセットされている(無効化フラグがセットされている)。その後、ステップA6以降が実行される。ステップA6以降については後述する。
【0044】
一方、ステップA2の確認の結果、フラグ29が有効を示している場合は、アクセス制御判断部25は、アクセス制御ルールがキャッシュ26に存在しているかどうかを確認する(ステップA3)。
【0045】
ステップA3の確認の結果、アクセス制御ルールがキャッシュ26に存在している場合は、アクセス制御判断部25は、そのアクセス制御ルール28を用いて、利用者リクエストを許可するかどうかを判定する(ステップA4)。そして、アクセス制御判断部25は、判定結果を、利用者リクエスト処理部22に送る。
【0046】
その後、利用者リクエスト処理部22は、返却された結果が「許可」である場合は、計算機資源23にアクセスし、アクセスによって得られた結果を利用者30に返却する。一方、利用者リクエスト処理部22は、返却された結果が「禁止」である場合は、それ以上処理を実行せず、利用者30にエラーを返却する。
【0047】
一方、ステップA3の確認の結果、アクセス制御ルールがキャッシュ26に存在していない場合は、ステップA6以降が実行される。
【0048】
ステップA6では、キャッシュ26のフラグは無効を示しているため、アクセス制御判断部25は、ネットワーク通信部27を介して、セキュリティサーバ10に、対応するアクセス制御ルールの送信を要求する。
【0049】
次に、セキュリティサーバ10において、セキュリティサーバ応答部11は、計算機20からの要求に応じて、セキュリティポリシー格納部を12検索して、要求を行った計算機20に対応するアクセス制御ルールを特定する。そして、セキュリティサーバ応答部11は、ネットワーク通信部14を介して、特定したアクセス制御ルールを、要求を行った計算機20に送信する(ステップA7)。
【0050】
次に、アクセス制御判断部25は、ネットワーク通信部27を介してアクセス制御ルールを受信する。そして、アクセス制御判断部25は、受信したアクセス制御ルール28をキャッシュ26に書き込み、これを保持させる(ステップA8)。また、ステップA8が実行された場合も、ステップA4が実行され、判定結果が、利用者リクエスト処理部22に送られる。
【0051】
このように、本実施の形態1では、各計算機20がセキュリティポリシーの複製を持つことなく、アクセス制御の意思決定が行われる。このため、計算機20に発生する負荷が低減される。また、キャッシュ26に無効化フラグがセットされると、計算機20は、亜アクセス制御ルールを要求するため、セキュリティポリシーの一貫性も保たれることになる。
【0052】
続いて、図4を用いて、セキュリティサーバ10において、セキュリティポリシーが更新された場合の処理について説明する。図4は、本発明の実施の形態1におけるセキュリティ管理システムのセキュリティポリシー更新時の動作を示すフロー図である。
【0053】
図4に示すように、先ず、セキュリティサーバ10において、セキュリティポリシーロード部13が、セキュリティポリシー格納部12に格納されているセキュリティポリシーを新しいバージョンへと更新する(ステップB1)。
【0054】
次に、セキュリティポリシーロード部13は、ネットワーク通信部14を介して、各計算機20に、メッセージを送出し、各計算機20のキャッシュ26に無効化フラグをセットさせる(ステップB2)。
【0055】
次に、キャッシュ26に無効化フラグがセットされているため、アクセス制御判断部25は、ネットワーク通信部27を介して、セキュリティサーバ10に、対応するアクセス制御ルールの送信を要求する(ステップB3)。ステップB3は、図3に示したステップA6と同様のステップである。
【0056】
次に、セキュリティサーバ10において、セキュリティサーバ応答部11は、計算機20からの要求に応じて、要求を行った計算機20に対応するアクセス制御ルールを特定し、特定したアクセス制御ルールを、要求を行った計算機20に送信する(ステップB4)。ステップB4は、図3に示したステップA7と同様の処理である。
【0057】
その後、計算機20において、アクセス制御判断部25は、アクセス制御ルールを受信し、受信したアクセス制御ルール28をキャッシュ26に書き込み、これを保持させる(ステップB5)。ステップB5は、図3に示したステップA8と同様の処理である。
【0058】
このように、本実施の形態1では、ステップB1〜B5の処理により、アクセス制御ルールの更新が完了する。この場合において、セキュリティサーバ10は、無効化フラグをセットする旨のメッセージを送出するだけで良く、また、セキュリティポリシーの複製がそのまま転送されることはないため、更新は非常に短い時間で完了する。
【0059】
本発明の実施の形態1における第1のプログラムは、コンピュータに、図3に示すステップA7、図4に示すステップB1、B2、B4を実行させるプログラムであれば良い。この第1のプログラムをコンピュータにインストールし、実行することによって、本実施の形態1におけるセキュリティサーバ10を実現することができる。この場合、コンピュータのCPU(Central Processing Unit)は、セキュリティサーバ応答部11、及びセキュリティポリシーロード部13として機能し、処理を行なう。また、コンピュータに備えられたハードディスク等の記憶装置は、セキュリティポリシー格納部12として機能する。
【0060】
また、本発明の実施の形態1における第2のプログラムは、コンピュータに、図3に示すステップA1〜A6、A8、図4に示すステップB3、B5を実行させるプログラムであれば良い。この第2のプログラムをコンピュータにインストールし、実行することによって、本実施の形態1における計算機20を実現することができる。この場合、コンピュータのCPUは、利用者リクエスト処理部22、及びアクセス制御判断部25として機能し、処理を行なう。
【0061】
(実施の形態2)
次に本発明の実施の形態2における、セキュリティ管理システム、セキュリティ管理方法、及びプログラムについて、図5を参照しながら説明する。図5は、本発明の実施の形態2におけるセキュリティ管理システムの全体構成を示す全体図である。
【0062】
図5に示すように、本実施の形態2におけるセキュリティ管理システム101は、セキュリティサーバとして、プライマリセキュリティサーバ40とセカンダリセキュリティサーバ41との2台を備えている。
【0063】
セカンダリセキュリティサーバ41は、起動時及びセキュリティポリシーの更新時に、プライマリセキュリティサーバ40から同期的にセキュリティポリシーの複製を受け取る。なお、この場合のセキュリティポリシーの複製の受け取りは、従来から転送技術を用いて行われ、セキュリティポリシー全体がセカンダリセキュリティサーバ41に転送される。
【0064】
各計算機20は、実施の形態1において図2に示した計算機と同様に構成されている。但し、本実施の形態2では、各計算機20は、任意のセキュリティサーバを選択し、選択したセキュリティサーバに対して、アクセス制御ルールの送信を要求することができる。例えば、現在、計算機20が接続しているセキュリティサーバが何らかの障害でダウンした場合は、計算機20は、次候補のセキュリティサーバに接続して、アクセス制御ルールの送信を要求することができる。
【0065】
本実施の形態2によれば、セキュリティサーバの冗長性を確保でき、可用性を高める事ができる。また、同時に、複数のセキュリティサーバが用いられるため、計算機20の数が非常に大きくなった場合は、負荷の分散を行なうことも可能となる。
【0066】
(実施の形態3)
次に本発明の実施の形態3における、セキュリティ管理システム、セキュリティ管理方法、及びプログラムについて、図6を参照しながら説明する。図6は、本発明の実施の形態3におけるセキュリティ管理システムの全体構成を示す全体図である。
【0067】
図6に示すように、本実施の形態3においては、セキュリティサーバ50には、「秘密鍵」がインストールされており、各計算機20には、「公開鍵」がインストールされている。また、秘密鍵と公開鍵は対になっており、公開鍵によって暗号化されたデータを秘密鍵によって復号する事ができる。
【0068】
そして、本実施の形態3では、計算機20は、セキュリティサーバ50に接続する際に、ランダムに生成したワンタイム共有鍵を、公開鍵を用いて暗号化する。更に、計算機20は、暗号化したワンタイム共有鍵をセキュリティサーバ50に送信する。
【0069】
また、セキュリティサーバ50は、秘密鍵を用いて、ワンタイム共有鍵を復号化する。そして、これ以降、セキュリティサーバ50は、計算機20のリクエストに応じてアクセス制御ルールを返却する際には、ワンタイム共有鍵を用いてメッセージダイジェストを生成し、これをアクセス制御ルールに付加する。
【0070】
また、各計算機20は、アクセス制御ルールを受け取ると、ワンタイム共有鍵を用いて、メッセージダイジェストを生成し、生成したメッセージダイジェストと、アクセス制御ルールに付加されたメッセージダイジェストとが一致するかどうかを確認する。そして、各計算計20は、一致する場合にのみ、送信されてきたアクセス制御ルールをキャッシュに書き込む。
【0071】
このように、本実施の形態3におけるセキュリティ管理システム102によれば、通信経路上での改ざんの有無を確認する事ができることから、よりいっそうセキュリティの向上が図れられる。
【0072】
ここで、実施の形態1〜3におけるプログラムを実行することによって、セキュリティサーバ又は計算機を実現するコンピュータについて図を用いて説明する。図7は、本発明の実施の形態1〜3にけるセキュリティサーバ又は計算機を実現するコンピュータの一例を示すブロック図である。
【0073】
図7に示すように、コンピュータ110は、CPU111と、メインメモリ112と、記憶装置113と、入力インターフェイス114と、表示コントローラ115と、データリーダ/ライタ116と、通信インターフェイス117とを備える。これらの各部は、バス121を介して、互いにデータ通信可能に接続される。
【0074】
CPU111は、記憶装置113に格納された、本実施の形態におけるプログラム(コード)をメインメモリ112に展開し、これらを所定順序で実行することにより、各種の演算を実施する。メインメモリ112は、典型的には、DRAM(Dynamic Random Access Memory)等の揮発性の記憶装置である。また、本実施の形態におけるプログラムは、コンピュータ読み取り可能な記録媒体120に格納された状態で提供される。なお、本実施の形態におけるプログラムは、通信インターフェイス117を介して接続されたインターネット上で流通するものであっても良い。
【0075】
また、記憶装置113の具体例としては、ハードディスクの他、フラッシュメモリ等の半導体記憶装置が挙げられる。入力インターフェイス114は、CPU111と、キーボード及びマウスといった入力機器118との間のデータ伝送を仲介する。表示コントローラ115は、ディスプレイ装置119と接続され、ディスプレイ装置119での表示を制御する。データリーダ/ライタ116は、CPU111と記録媒体120との間のデータ伝送を仲介し、記録媒体120からのプログラムの読み出し、及びコンピュータ110における処理結果の記録媒体120への書き込みを実行する。通信インターフェイス117は、CPU111と、他のコンピュータとの間のデータ伝送を仲介する。
【0076】
また、記録媒体120の具体例としては、CF(Compact Flash)及びSD(Secure Digital)等の汎用的な半導体記憶デバイス、フレキシブルディスク(Flexible Disk)等の磁気記憶媒体、又はCD−ROM(Compact Disk Read Only Memory)などの光学記憶媒体が挙げられる。
【0077】
上述した実施の形態の一部又は全部は、以下に記載する(付記1)〜(付記12)によって表現することができるが、以下の記載に限定されるものではない。
【0078】
(付記1)
保持されているデータが有効及び無効のいずれであるかを示すフラグを有するキャッシュを備える、計算機と、
複数のアクセス制御ルールを含むセキュリティポリシーを管理し、且つ、前記計算機からの要求に応じて、前記計算機に対応するアクセス制御ルールを前記計算機に送信する、セキュリティサーバと、
を備え、
前記計算機は、前記フラグが無効を示す場合に、前記セキュリティサーバに、対応するアクセス制御ルールの送信を要求し、そして、前記キャッシュに、前記セキュリティサーバから送信されたアクセス制御ルールを保持し、
前記セキュリティサーバは、前記セキュリティポリシーを更新する場合に、前記計算機に、前記フラグが無効を示すように指示を与える、
ことを特徴とする、セキュリティ管理システム。
【0079】
(付記2)
前記計算機が、更に、前記キャッシュが前記アクセス制御ルールを保持していない場合にも、前記セキュリティサーバに、対応するアクセス制御ルールの送信を要求する、請求項1に記載のセキュリティ管理システム。
【0080】
(付記3)
前記計算機が、外部から、前記計算機が備える計算機資源の利用が求められると、
前記フラグが有効であるかどうか、及び前記キャッシュが前記アクセス制御ルールを保持しているかどうかを判定し、
前記フラグが有効であり、且つ、前記キャッシュが前記アクセス制御ルールを保持している場合に、前記アクセス制御ルールに基づいて、前記利用を許可するかどうかを判断する、請求項1又は2に記載のセキュリティ管理システム。
【0081】
(付記4)
複数のセキュリティサーバが備えられ、前記複数のセキュリティサーバは、それぞれ、同一のセキュリティポリシーを管理しており、
前記計算機は、前記複数のセキュリティサーバのいずれかに対して、前記対応するアクセス制御ルールの送信を要求する、請求項1〜3のいずれかに記載のセキュリティ管理システム。
【0082】
(付記5)
前記セキュリティサーバが、送信対象となる前記アクセス制御ルールに、前記計算機から予め受け取ったワンタイム公開鍵を用いて生成したメッセージダイジェストを付加し、
前記計算機が、前記ワンタイム公開鍵によってメッセージダイジェストを生成し、生成したメッセージダイジェストと、前記セキュリティサーバが付加したメッセージダイジェストとが一致する場合に、前記アクセス制御ルールを前記キャッシュに保持させる、
請求項1〜4のいずれかに記載のセキュリティ管理システム。
【0083】
(付記6)
保持されているデータが有効及び無効のいずれであるかを示すフラグを有するキャッシュを備える計算機と、複数のアクセス制御ルールを含むセキュリティポリシーを管理するセキュリティサーバとを用いる、セキュリティ管理方法であって、
(a)前記フラグが無効を示す場合に、前記計算機によって、前記セキュリティサーバに、対応するアクセス制御ルールの送信を要求する、ステップと、
(b)前記セキュリティサーバによって、前記計算機からの要求に応じて、前記計算機に、対応するアクセス制御ルールを送信する、ステップと、
(c)前記計算機によって、前記キャッシュにおいて、前記セキュリティサーバから送信されたアクセス制御ルールを保持する、ステップと、
(d)前記セキュリティサーバによって、前記セキュリティポリシーを更新する場合に、前記計算機に、前記フラグが無効を示すように指示を与える、ステップと、
を有することを特徴とする、セキュリティ管理方法。
【0084】
(付記7)
(e)前記キャッシュが前記アクセス制御ルールを保持していない場合に、前記計算機によって、前記セキュリティサーバに、対応するアクセス制御ルールの送信を要求する、ステップを更に有する、請求項6に記載のセキュリティ管理方法。
【0085】
(付記8)
(f)外部から、前記計算機が備える計算機資源の利用が求められると、前記計算機によって、前記フラグが有効であるかどうか、及び前記キャッシュが前記アクセス制御ルールを保持しているかどうかを判定し、前記フラグが有効であり、且つ、前記キャッシュが前記アクセス制御ルールを保持している場合に、前記アクセス制御ルールに基づいて、前記利用を許可するかどうかを判断する、請求項7に記載のセキュリティ管理方法。
【0086】
(付記9)
複数のセキュリティサーバが備えられ、前記複数のセキュリティサーバは、それぞれ、同一のセキュリティポリシーを管理している場合に、
前記(a)のステップにおいて、前記計算機は、前記複数のセキュリティサーバのいずれかに対して、前記対応するアクセス制御ルールの送信を要求する、請求項6〜8のいずれかに記載のセキュリティ管理方法。
【0087】
(付記10)
(g)前記セキュリティサーバによって、送信対象となる前記アクセス制御ルールに、前記計算機から予め受け取ったワンタイム公開鍵を用いて生成したメッセージダイジェストを付加する、ステップを更に有し、
前記(c)のステップにおいて、前記計算機が、前記ワンタイム公開鍵によってメッセージダイジェストを生成し、生成したメッセージダイジェストと、前記セキュリティサーバが付加したメッセージダイジェストとが一致する場合に、前記アクセス制御ルールを前記キャッシュに保持させる、
請求項6〜9のいずれかに記載のセキュリティ管理方法。
【0088】
(付記11)
保持されているデータが有効及び無効のいずれであるかを示すフラグを有するキャッシュを備える計算機を対象として、コンピュータによって、複数のアクセス制御ルールを含むセキュリティポリシーの管理を行うためのプログラムであって、
前記コンピュータに、
(a)前記フラグが無効を示すことを条件に、前記計算機が、前記セキュリティサーバに、対応するアクセス制御ルールの送信を要求した場合に、前記計算機に対応するアクセス制御ルールを前記計算機に送信し、前記キャッシュに、送信されたアクセス制御ルールを保持させる、ステップと、
(b)前記セキュリティポリシーを更新する場合に、前記計算機に、前記フラグが無効を示すように指示を与える、ステップと、
を実行させるプログラム。
【0089】
(付記12)
保持されているデータが有効及び無効のいずれであるかを示すフラグを有するキャッシュを備えたコンピュータにおいて、そのセキュリティを管理するためのプログラムであって、
前記コンピュータに、
(a)前記フラグが無効を示す場合に、複数のアクセス制御ルールを含むセキュリティポリシーを管理する前記セキュリティサーバに対して、対応するアクセス制御ルールの送信を要求し、そして、前記キャッシュに、送信されたアクセス制御ルールを保持する、ステップと、
(b)前記セキュリティサーバが、前記フラグが無効を示すように指示を与えた場合に、前記フラグを無効にする、ステップと、
を実行させるプログラム。
【産業上の利用可能性】
【0090】
以上のように、本発明によれば、セキュリティポリシーが適用される計算機の負荷の低減と、セキュリティポリシーの更新処理の迅速化とを図ることができる。本発明は、非常に多くの計算機ノードを含むクラスタ環境下で、各計算機に適用されるセキュリティポリシーの集中管理が求められるシステムに有用である。
【符号の説明】
【0091】
10 セキュリティサーバ(実施の形態1)
11 セキュリティサーバ応答部
12 セキュリティポリシー格納部12
13 セキュリティポリシーロード部
14 ネットワーク通信部
20 計算機
21 計算機カーネル部
22 利用者リクエスト処理部
23 計算機資源
24 アクセス制御部
25 アクセス制御判断部
26 キャッシュ
27 ネットワーク通信部
28 アクセス制御ルール
29 フラグ
30 利用者
40 プライマリセキュリティサーバ(実施の形態2)
41 セカンダリセキュリティサーバ(実施の形態2)
50 セキュリティサーバ(実施の形態3)
100 セキュリティ管理システム(実施の形態1)
101 セキュリティ管理システム(実施の形態2)
102 セキュリティ管理システム(実施の形態3)
110 コンピュータ
111 CPU
112 メインメモリ
113 記憶装置
114 入力インターフェイス
115 表示コントローラ
116 データリーダ/ライタ
117 通信インターフェイス
118 入力機器
119 ディスプレイ装置
120 記録媒体
121 バス
【技術分野】
【0001】
本発明は、セキュリティ管理システム、セキュリティ管理方法、及びプログラムに関する。
【背景技術】
【0002】
従来から、一部のOS(Operating System)には、強制アクセス制御が組み込まれている。OSの強制アクセス制御は、正当な権限無しでは情報資産を参照及び更新できないようにできるため、システムのセキュリティを保全する上で、非常に有益な機能である。とりわけ、多数の利用者が共有の計算機資源を利用する環境、典型的には「SaaS」または「PaaS」と呼ばれる環境においては、強制アクセス制御を用いることにより、効果的に情報資産へのアクセスの正当性を担保する事ができる。
【0003】
また、強制アクセス制御メカニズムを正しく動作させるためには、誰にどのような操作を許可または禁止させるかを記述した「セキュリティポリシー」が正しく設定されている必要がある。更に、一台の計算機で運用する場合とは異なり、多数の計算機から成るクラスタで強制アクセス制御メカニズムを利用する際には、これら計算機の間でセキュリティポリシーの一貫性を少ない労力で保持することも必要となる。
【0004】
このような要求に対応するため、Yum(Yellowdog Updater Modified)、又はApt(Advanced Packaging Took)といった、パッケージ管理ツールを用いた方法が採用されている。このような方法では、パッケージ管理ツールによって、セキュリティポリシーを含むパッケージが更新され、更に、クラスタ内の計算機全体にセキュリティポリシーが配布される。
【0005】
但し、上記の方法では、クラスタ内の各計算機の間でパッケージを更新するタイミングを同期することが難しいという問題がある。このため、場合によっては、クラスタ内の一部の計算機では最新のセキュリティポリシーが適用されているものの、それ以外の計算機では古いセキュリティポリシーが適用されているといった、危険な状態が発生する可能性がある。
【0006】
このような問題を解決するため、セキュリティポリシー配布用のサーバを設置し、このサーバからクラスタ内の各計算機にセキュリティポリシーを配布する技術が提案されている(例えば、特許文献1、特許文献2、及び特許文献3参照。)。また、特許文献1〜3に開示された技術では、配布されるセキュリティポリシーに対して、場合によっては、計算機に応じたカスタマイズが加える場合もある。特許文献1〜3に開示された技術によれば、上述の要求に対応しつつ、上記の問題を解決することができると考えられる。
【先行技術文献】
【特許文献】
【0007】
【特許文献1】特開2004−094405号公報
【特許文献2】特開2006−146891号後方
【特許文献3】特開2006−243791号公報
【発明の概要】
【発明が解決しようとする課題】
【0008】
ところで、セキュリティポリシーとはアクセス制御ルールの集合であるが、ある特定の計算機がセキュリティポリシーで定義されている全てのアクセス制御ルールを満遍なく利用するという事は稀であり、多くの場合は、セキュリティポリシーの一部しか利用しない。例えば、セキュリティポリシーが、ログインユーザ向け、Webサーバ向け、DBサーバ向け、それぞれに対するアクセス制御ルールを含んでいるとする。この場合、Webサーバとして利用される計算機は、Webサーバ向けのアクセス制御ルールしか利用せず、DBサーバとして利用される計算機は、DBサーバ向けのアクセス制御ルールしか利用しない。
【0009】
これに対して、特許文献1〜特許文献3に開示された技術では、セキュリティポリシー配布用のサーバは、セキュリティポリシーの一貫性を保つために、クラスタ内の計算機それぞれに対して、セキュリティポリシー全体を配布している。このため、各計算機はセュリティポリシー全体を保持する必要があり、各計算機における負荷が大きいという問題が発生する。
【0010】
また、特許文献1〜特許文献3に開示された技術では、セキュリィティポリシーの更新の際、各計算機は、セキュリティポリシー全体を再ロードする必要がある。このため、更新処理に時間がかかり過ぎるという問題も発生する。
【0011】
本発明の目的の一例は、上記問題を解消し、セキュリティポリシーが適用される機器の負荷の低減と、セキュリティポリシーの更新処理の迅速化とを図り得る、セキュリティ管理システム、セキュリティ管理方法、及びプログラムを提供することにある。
【課題を解決するための手段】
【0012】
上記目的を達成するため、本発明の一側面におけるセキュリティ管理システムは、保持されているデータが有効及び無効のいずれであるかを示すフラグを有するキャッシュを備える、計算機と、
複数のアクセス制御ルールを含むセキュリティポリシーを管理し、且つ、前記計算機からの要求に応じて、前記計算機に対応するアクセス制御ルールを前記計算機に送信する、セキュリティサーバと、
を備え、
前記計算機は、前記フラグが無効を示す場合に、前記セキュリティサーバに、対応するアクセス制御ルールの送信を要求し、そして、前記キャッシュに、前記セキュリティサーバから送信されたアクセス制御ルールを保持し、
前記セキュリティサーバは、前記セキュリティポリシーを更新する場合に、前記計算機に、前記フラグが無効を示すように指示を与える、
ことを特徴とする。
【0013】
また、上記目的を達成するため、本発明の一側面におけるセキュリティ管理方法は、保持されているデータが有効及び無効のいずれであるかを示すフラグを有するキャッシュを備える計算機と、複数のアクセス制御ルールを含むセキュリティポリシーを管理するセキュリティサーバとを用いる、セキュリティ管理方法であって、
(a)前記フラグが無効を示す場合に、前記計算機によって、前記セキュリティサーバに、対応するアクセス制御ルールの送信を要求する、ステップと、
(b)前記セキュリティサーバによって、前記計算機からの要求に応じて、前記計算機に、対応するアクセス制御ルールを送信する、ステップと、
(c)前記計算機によって、前記キャッシュにおいて、前記セキュリティサーバから送信されたアクセス制御ルールを保持する、ステップと、
(d)前記セキュリティサーバによって、前記セキュリティポリシーを更新する場合に、前記計算機に、前記フラグが無効を示すように指示を与える、ステップと、
を有することを特徴とする。
【0014】
更に、上記目的を達成するため、本発明の一側面における第1のプログラムは、保持されているデータが有効及び無効のいずれであるかを示すフラグを有するキャッシュを備える計算機を対象として、コンピュータによって、複数のアクセス制御ルールを含むセキュリティポリシーの管理を行うためのプログラムであって、
前記コンピュータに、
(a)前記フラグが無効を示すことを条件に、前記計算機が、前記セキュリティサーバに、対応するアクセス制御ルールの送信を要求した場合に、前記計算機に対応するアクセス制御ルールを前記計算機に送信し、前記キャッシュに、送信されたアクセス制御ルールを保持させる、ステップと、
(b)前記セキュリティポリシーを更新する場合に、前記計算機に、前記フラグが無効を示すように指示を与える、ステップと、
を実行させることを特徴とする。
【0015】
また、上記目的を達成するため、本発明の一側面における第2のプログラムは、保持されているデータが有効及び無効のいずれであるかを示すフラグを有するキャッシュを備えたコンピュータにおいて、そのセキュリティを管理するためのプログラムであって、
前記コンピュータに、
(a)前記フラグが無効を示す場合に、複数のアクセス制御ルールを含むセキュリティポリシーを管理する前記セキュリティサーバに対して、対応するアクセス制御ルールの送信を要求し、そして、前記キャッシュに、送信されたアクセス制御ルールを保持する、ステップと、
(b)前記セキュリティサーバが、前記フラグが無効を示すように指示を与えた場合に、前記フラグを無効にする、ステップと、
を実行させることを特徴とする。
【発明の効果】
【0016】
以上のように、本発明における、セキュリティ管理システム、セキュリティ管理方法、及びプログラムによれば、セキュリティポリシーが適用される機器の負荷の低減と、セキュリティポリシーの更新処理の迅速化とを図ることができる。
【図面の簡単な説明】
【0017】
【図1】図1は、本発明の実施の形態1におけるセキュリティ管理システムの全体構成を示す全体図である。
【図2】図2は、本発明の実施の形態1におけるセキュリティ管理システムのセキュリティサーバ及び計算機それぞれの構成を示すブロック図である。
【図3】図3は、本発明の実施の形態1におけるセキュリティ管理システムのリクエスト要求時の動作を示すフロー図である。
【図4】図4は、本発明の実施の形態1におけるセキュリティ管理システムのセキュリティポリシー更新時の動作を示すフロー図である。
【図5】図5は、本発明の実施の形態2におけるセキュリティ管理システムの全体構成を示す全体図である。
【図6】図6は、本発明の実施の形態3におけるセキュリティ管理システムの全体構成を示す全体図である。
【図7】図7は、本発明の実施の形態1〜3にけるセキュリティサーバ又は計算機を実現するコンピュータの一例を示すブロック図である。
【発明を実施するための形態】
【0018】
(発明の概要)
本発明では、ある計算機クラスタにおいて、一連の強制アクセス制御ルール(「誰が」「何に」「何をできるか」という組み合わせ)の集合、即ち、セキュリティポリシーを、多数の計算機で共有する場合に、個々の計算機は、セキュリティポリシーの複製全てを持つ必要はない。代わりに、個々の計算機は、セキュリティサーバに対して、個々のアクセス制御ルールの送信を要求し、送信されてきたアクセス制御ルールを各計算機のキャッシュ領域に一時的に保存する。
【0019】
また、各計算機は、キャッシュのフラグが無効を示す場合(無効化フラグが設定されている場合)に、セキュリティサーバに対して、アクセス制御ルールの送信を求めるように構成されている。従って、セキュリティサーバは、セキュリティポリシーが新しいバージョンに更新された場合には、無効化を指示する指令(invalidation message)を計算機に送出するだけで良く、これにより、計算機は、更新が反映されたアクセス制御ルールの送信を要求する。
【0020】
このように、本発明では、セキュリティポリシーの複製全てが各計算機に送信されることはなく、そして、アクセス制御ルールはキャッシュにしか保持されないため、計算機における負荷が抑制される。更に、セキュリティポリシーの更新処理は迅速に行われることになる。
【0021】
また、本発明では、古い状態のアクセス制御ルールを保持したままシステムが動作する事はない。例えば、しばらくシステムがシャットダウン状態だったためにパッケージが最新ではなかった場合でも、計算機は、再起動時には、フラグが無効を示すため、セキュリティサーバに最新のアクセス制御ルールを問い合わせる。このため、新旧のセキュリティポリシーが混在する事態は避けられ、セキュリティサーバと、多数の計算機との間で、自動的にセキュリティポリシーの一貫性が保たれる。結果、セキュリティサーバにおけるポリシー管理の労力が、大きく削減される。
【0022】
(実施の形態1)
以下、本発明の実施の形態1における、セキュリティ管理システム、セキュリティ管理方法、及びプログラムについて、図1〜図3を参照しながら説明する。
【0023】
[システム構成]
最初に、図1及び図2を用いて、本実施の形態1におけるセキュリティ管理システム100の構成について説明する。図1は、本発明の実施の形態1におけるセキュリティ管理システムの全体構成を示す全体図である。図2は、本発明の実施の形態1におけるセキュリティ管理システムのセキュリティサーバ及び計算機それぞれの構成を示すブロック図である。
【0024】
図1に示すように、本実施の形態1におけるセキュリティ管理システム100は、強制アクセス制御ポリシーをオンデマンドで配布するシステムであり、セキュリティサーバ10と、計算機20とを備えている。セキュリティサーバ10と計算機20とは、LANなどのネットワークを介して接続されている。
【0025】
計算機20は、利用者が使用する端末、各種サーバなど、ネットワークを構成する機器である。図1の例では、3つの計算機20のみが図示されているが、本実施の形態1において、計算機20は1台以上であれば良く、計算機20の数は特に限定されるものではない。
【0026】
セキュリティサーバ10は、セキュリティポリシーを管理し、計算機からの要求に応じてアクセス制御ルールを返却する。セキュリティポリシーは、複数のアクセス制御ルールを含んでいる。本実施の形態1においては、「アクセス制御ルール」は、「利用者(の識別子)」、「計算機資源(の識別子)」、「許可または禁止される操作(の識別子)」の組み合わせによって構成されている。なお、どのような識別子を用いるかは、セキュリティモデルに依存する。本実施の形態では、例えば、既存の「ラベル」と呼ばれる機密階層及び機密区分の組み合わせを利用することができる。
【0027】
また、図2に示すように、計算機20は、アクセス制御判断部25と、キャッシュ26と、ネットワーク通信部27とを備えている。このうち、ネットワーク通信部27は、セキュリティサーバ10との間で通信を行うための通信インターフェイスである。
【0028】
キャッシュ26は、保持されているデータが有効及び無効のいずれであるかを示すフラグ29を有している。アクセス制御判断部25は、フラグ29が無効を示す場合に、セキュリティサーバ10に、対応するアクセス制御ルールの送信を要求する。そして、アクセス制御判断部25は、キャッシュ26に、セキュリティサーバ10から送信されたアクセス制御ルール28を格納し、これを保持させる。
【0029】
更に、図2に示すように、セキュリティサーバ10は、セキュリティサーバ応答部11と、セキュリティポリシー格納部12と、セキュリティポリシーロード部13と、ネットワーク通信部14とを備えている。このうち、ネットワーク通信部14は、計算機20との間で通信を行うための通信インターフェイスである。セキュリティポリシー格納部12は、多数のアクセス制御ルールで構成されたセキュリティポリシーを格納している。
【0030】
セキュリティサーバ応答部11は、計算機20からの要求に応じて、セキュリティポリシー格納部12を検索し、要求を行った計算機20に対応するアクセス制御ルールを特定する。そして、セキュリティサーバ応答部11は、ネットワーク通信部14を介して、特定したアクセス制御ルールを、要求を行った計算機20に送信する。
【0031】
また、セキュリティポリシーロード部13は、セキュリティポリシー格納部12に格納されているセキュリティポリシーを更新する。更に、セキュリティポリシーロード部13は、セキュリティポリシーを更新する場合、ネットワーク通信部14を介して、各計算機20に、フラグ29が無効を示すように指示を送出する。この結果、各計算機20は、新しいアクセス制御ルールの送信を要求するため、アクセス制御ルールが更新される。
【0032】
このように、セキュリティ管理システム100では、セキュリティポリシーの複製全てが各計算機20に送信されることはない。また、アクセス制御ルール28は、各計算機20のキャッシュ26に保持されるだけである。このため、計算機20における負荷が抑制される。更に、セキュリティポリシーの更新処理は迅速に行われる。
【0033】
ここで、計算機20の構成について更に具体的に説明する。本実施の形態2では、計算機20は、計算機カーネル部21を備えている。計算機カーネル部21は、計算機20にインプリメントされたOSによって構築されている。更に、計算機カーネル部21は、利用者リクエスト処理部22と、計算機資源23と、アクセス制御部24とを備えている。
【0034】
アクセス制御部24は、先に述べた、アクセス制御判断部25、キャッシュ26、及びネットワーク通信部27を備えている。キャッシュ26は、計算機20を構成するメモリ、又は計算機20のプロセッサに設けられたキャッシュメモリ等によって実現されている。
【0035】
計算機資源23は、計算機20によって管理されている、各種ファイル、ネットワークに接続するための情報等である。計算機20の利用者30は、計算機資源23を利用するため、例えば、Webブラウザ等が提供する入力画面を介してリクエストを入力する。これにより、利用者リクエストが発行され、これが利用者リクエスト処理部22に入力される。利用者リクエスト処理部22は、利用者リクエストを受け付け、処理を行う。
【0036】
具体的には、利用者リクエスト処理部22は、先ず、アクセス制御部24に対して、利用者30のリクエストの実行可否を問い合わせる。このとき、アクセス制御判断部25は、キャッシュに保持されているアクセス制御ルール28に基づき、当該リクエストに対して、「許可」又は「禁止」の意思決定を行い、結果を返却する。
【0037】
そして、利用者リクエスト処理部22は、返却された結果が「許可」である場合は、計算機資源23にアクセスし、アクセスによって得られた結果を利用者30に返却する。一方、利用者リクエスト処理部22は、返却された結果が「禁止」である場合は、それ以上処理を実行せず、利用者30にエラーを返却する。
【0038】
このように、計算機20は、キャッシュ26に保持されているアクセス制御ルール28に従って、利用者30による操作に対して制限を与えることができ、セキュリティが確保されることになる。
【0039】
[システム動作]
次に、本発明の実施の形態1におけるセキュリティ管理システム100の動作について図3及び図4を用いて説明する。以下の説明においては、適宜図1及び図2を参酌する。また、本実施の形態1では、セキュリティ管理システム100を動作させることによって、セキュリティ管理方法が実施される。よって、本実施の形態におけるセキュリティ管理方法の説明は、以下のセキュリティ管理システム100の動作説明に代える。
【0040】
最初に、図3を用いて、利用者30からリクエストが要求された場合の処理について説明する。図3は、本発明の実施の形態1におけるセキュリティ管理システムのリクエスト要求時の動作を示すフロー図である。
【0041】
先ず、利用者30が、入力画面からリクエストを要求すると、利用者リクエストが発行される。そして、図3に示すように、利用者リクエスト処理部22が、利用者リクエストを受け付ける(ステップA1)。また、利用者リクエスト処理部22は、アクセス制御部24に対して、利用者リクエストの実行可否を問い合わせる。
【0042】
次に、利用者リクエスト処理部22によって、利用者リクエストの実行可否が問い合わせられると、アクセス制御判断部25は、キャッシュ26のフラグ29が有効を示しているかどうかを確認する(ステップA2)。
【0043】
ステップA2の確認の結果、フラグ29が有効を示していない場合、即ち、無効化フラグがセットされている場合は、アクセス制御判断部25は、キャッシュ26に保持されているデータの内容を全て消去し、無効化フラグをクリアする(ステップA5)。初期状態では、キャッシュ26のフラグ29は無効を示すようにセットされている(無効化フラグがセットされている)。その後、ステップA6以降が実行される。ステップA6以降については後述する。
【0044】
一方、ステップA2の確認の結果、フラグ29が有効を示している場合は、アクセス制御判断部25は、アクセス制御ルールがキャッシュ26に存在しているかどうかを確認する(ステップA3)。
【0045】
ステップA3の確認の結果、アクセス制御ルールがキャッシュ26に存在している場合は、アクセス制御判断部25は、そのアクセス制御ルール28を用いて、利用者リクエストを許可するかどうかを判定する(ステップA4)。そして、アクセス制御判断部25は、判定結果を、利用者リクエスト処理部22に送る。
【0046】
その後、利用者リクエスト処理部22は、返却された結果が「許可」である場合は、計算機資源23にアクセスし、アクセスによって得られた結果を利用者30に返却する。一方、利用者リクエスト処理部22は、返却された結果が「禁止」である場合は、それ以上処理を実行せず、利用者30にエラーを返却する。
【0047】
一方、ステップA3の確認の結果、アクセス制御ルールがキャッシュ26に存在していない場合は、ステップA6以降が実行される。
【0048】
ステップA6では、キャッシュ26のフラグは無効を示しているため、アクセス制御判断部25は、ネットワーク通信部27を介して、セキュリティサーバ10に、対応するアクセス制御ルールの送信を要求する。
【0049】
次に、セキュリティサーバ10において、セキュリティサーバ応答部11は、計算機20からの要求に応じて、セキュリティポリシー格納部を12検索して、要求を行った計算機20に対応するアクセス制御ルールを特定する。そして、セキュリティサーバ応答部11は、ネットワーク通信部14を介して、特定したアクセス制御ルールを、要求を行った計算機20に送信する(ステップA7)。
【0050】
次に、アクセス制御判断部25は、ネットワーク通信部27を介してアクセス制御ルールを受信する。そして、アクセス制御判断部25は、受信したアクセス制御ルール28をキャッシュ26に書き込み、これを保持させる(ステップA8)。また、ステップA8が実行された場合も、ステップA4が実行され、判定結果が、利用者リクエスト処理部22に送られる。
【0051】
このように、本実施の形態1では、各計算機20がセキュリティポリシーの複製を持つことなく、アクセス制御の意思決定が行われる。このため、計算機20に発生する負荷が低減される。また、キャッシュ26に無効化フラグがセットされると、計算機20は、亜アクセス制御ルールを要求するため、セキュリティポリシーの一貫性も保たれることになる。
【0052】
続いて、図4を用いて、セキュリティサーバ10において、セキュリティポリシーが更新された場合の処理について説明する。図4は、本発明の実施の形態1におけるセキュリティ管理システムのセキュリティポリシー更新時の動作を示すフロー図である。
【0053】
図4に示すように、先ず、セキュリティサーバ10において、セキュリティポリシーロード部13が、セキュリティポリシー格納部12に格納されているセキュリティポリシーを新しいバージョンへと更新する(ステップB1)。
【0054】
次に、セキュリティポリシーロード部13は、ネットワーク通信部14を介して、各計算機20に、メッセージを送出し、各計算機20のキャッシュ26に無効化フラグをセットさせる(ステップB2)。
【0055】
次に、キャッシュ26に無効化フラグがセットされているため、アクセス制御判断部25は、ネットワーク通信部27を介して、セキュリティサーバ10に、対応するアクセス制御ルールの送信を要求する(ステップB3)。ステップB3は、図3に示したステップA6と同様のステップである。
【0056】
次に、セキュリティサーバ10において、セキュリティサーバ応答部11は、計算機20からの要求に応じて、要求を行った計算機20に対応するアクセス制御ルールを特定し、特定したアクセス制御ルールを、要求を行った計算機20に送信する(ステップB4)。ステップB4は、図3に示したステップA7と同様の処理である。
【0057】
その後、計算機20において、アクセス制御判断部25は、アクセス制御ルールを受信し、受信したアクセス制御ルール28をキャッシュ26に書き込み、これを保持させる(ステップB5)。ステップB5は、図3に示したステップA8と同様の処理である。
【0058】
このように、本実施の形態1では、ステップB1〜B5の処理により、アクセス制御ルールの更新が完了する。この場合において、セキュリティサーバ10は、無効化フラグをセットする旨のメッセージを送出するだけで良く、また、セキュリティポリシーの複製がそのまま転送されることはないため、更新は非常に短い時間で完了する。
【0059】
本発明の実施の形態1における第1のプログラムは、コンピュータに、図3に示すステップA7、図4に示すステップB1、B2、B4を実行させるプログラムであれば良い。この第1のプログラムをコンピュータにインストールし、実行することによって、本実施の形態1におけるセキュリティサーバ10を実現することができる。この場合、コンピュータのCPU(Central Processing Unit)は、セキュリティサーバ応答部11、及びセキュリティポリシーロード部13として機能し、処理を行なう。また、コンピュータに備えられたハードディスク等の記憶装置は、セキュリティポリシー格納部12として機能する。
【0060】
また、本発明の実施の形態1における第2のプログラムは、コンピュータに、図3に示すステップA1〜A6、A8、図4に示すステップB3、B5を実行させるプログラムであれば良い。この第2のプログラムをコンピュータにインストールし、実行することによって、本実施の形態1における計算機20を実現することができる。この場合、コンピュータのCPUは、利用者リクエスト処理部22、及びアクセス制御判断部25として機能し、処理を行なう。
【0061】
(実施の形態2)
次に本発明の実施の形態2における、セキュリティ管理システム、セキュリティ管理方法、及びプログラムについて、図5を参照しながら説明する。図5は、本発明の実施の形態2におけるセキュリティ管理システムの全体構成を示す全体図である。
【0062】
図5に示すように、本実施の形態2におけるセキュリティ管理システム101は、セキュリティサーバとして、プライマリセキュリティサーバ40とセカンダリセキュリティサーバ41との2台を備えている。
【0063】
セカンダリセキュリティサーバ41は、起動時及びセキュリティポリシーの更新時に、プライマリセキュリティサーバ40から同期的にセキュリティポリシーの複製を受け取る。なお、この場合のセキュリティポリシーの複製の受け取りは、従来から転送技術を用いて行われ、セキュリティポリシー全体がセカンダリセキュリティサーバ41に転送される。
【0064】
各計算機20は、実施の形態1において図2に示した計算機と同様に構成されている。但し、本実施の形態2では、各計算機20は、任意のセキュリティサーバを選択し、選択したセキュリティサーバに対して、アクセス制御ルールの送信を要求することができる。例えば、現在、計算機20が接続しているセキュリティサーバが何らかの障害でダウンした場合は、計算機20は、次候補のセキュリティサーバに接続して、アクセス制御ルールの送信を要求することができる。
【0065】
本実施の形態2によれば、セキュリティサーバの冗長性を確保でき、可用性を高める事ができる。また、同時に、複数のセキュリティサーバが用いられるため、計算機20の数が非常に大きくなった場合は、負荷の分散を行なうことも可能となる。
【0066】
(実施の形態3)
次に本発明の実施の形態3における、セキュリティ管理システム、セキュリティ管理方法、及びプログラムについて、図6を参照しながら説明する。図6は、本発明の実施の形態3におけるセキュリティ管理システムの全体構成を示す全体図である。
【0067】
図6に示すように、本実施の形態3においては、セキュリティサーバ50には、「秘密鍵」がインストールされており、各計算機20には、「公開鍵」がインストールされている。また、秘密鍵と公開鍵は対になっており、公開鍵によって暗号化されたデータを秘密鍵によって復号する事ができる。
【0068】
そして、本実施の形態3では、計算機20は、セキュリティサーバ50に接続する際に、ランダムに生成したワンタイム共有鍵を、公開鍵を用いて暗号化する。更に、計算機20は、暗号化したワンタイム共有鍵をセキュリティサーバ50に送信する。
【0069】
また、セキュリティサーバ50は、秘密鍵を用いて、ワンタイム共有鍵を復号化する。そして、これ以降、セキュリティサーバ50は、計算機20のリクエストに応じてアクセス制御ルールを返却する際には、ワンタイム共有鍵を用いてメッセージダイジェストを生成し、これをアクセス制御ルールに付加する。
【0070】
また、各計算機20は、アクセス制御ルールを受け取ると、ワンタイム共有鍵を用いて、メッセージダイジェストを生成し、生成したメッセージダイジェストと、アクセス制御ルールに付加されたメッセージダイジェストとが一致するかどうかを確認する。そして、各計算計20は、一致する場合にのみ、送信されてきたアクセス制御ルールをキャッシュに書き込む。
【0071】
このように、本実施の形態3におけるセキュリティ管理システム102によれば、通信経路上での改ざんの有無を確認する事ができることから、よりいっそうセキュリティの向上が図れられる。
【0072】
ここで、実施の形態1〜3におけるプログラムを実行することによって、セキュリティサーバ又は計算機を実現するコンピュータについて図を用いて説明する。図7は、本発明の実施の形態1〜3にけるセキュリティサーバ又は計算機を実現するコンピュータの一例を示すブロック図である。
【0073】
図7に示すように、コンピュータ110は、CPU111と、メインメモリ112と、記憶装置113と、入力インターフェイス114と、表示コントローラ115と、データリーダ/ライタ116と、通信インターフェイス117とを備える。これらの各部は、バス121を介して、互いにデータ通信可能に接続される。
【0074】
CPU111は、記憶装置113に格納された、本実施の形態におけるプログラム(コード)をメインメモリ112に展開し、これらを所定順序で実行することにより、各種の演算を実施する。メインメモリ112は、典型的には、DRAM(Dynamic Random Access Memory)等の揮発性の記憶装置である。また、本実施の形態におけるプログラムは、コンピュータ読み取り可能な記録媒体120に格納された状態で提供される。なお、本実施の形態におけるプログラムは、通信インターフェイス117を介して接続されたインターネット上で流通するものであっても良い。
【0075】
また、記憶装置113の具体例としては、ハードディスクの他、フラッシュメモリ等の半導体記憶装置が挙げられる。入力インターフェイス114は、CPU111と、キーボード及びマウスといった入力機器118との間のデータ伝送を仲介する。表示コントローラ115は、ディスプレイ装置119と接続され、ディスプレイ装置119での表示を制御する。データリーダ/ライタ116は、CPU111と記録媒体120との間のデータ伝送を仲介し、記録媒体120からのプログラムの読み出し、及びコンピュータ110における処理結果の記録媒体120への書き込みを実行する。通信インターフェイス117は、CPU111と、他のコンピュータとの間のデータ伝送を仲介する。
【0076】
また、記録媒体120の具体例としては、CF(Compact Flash)及びSD(Secure Digital)等の汎用的な半導体記憶デバイス、フレキシブルディスク(Flexible Disk)等の磁気記憶媒体、又はCD−ROM(Compact Disk Read Only Memory)などの光学記憶媒体が挙げられる。
【0077】
上述した実施の形態の一部又は全部は、以下に記載する(付記1)〜(付記12)によって表現することができるが、以下の記載に限定されるものではない。
【0078】
(付記1)
保持されているデータが有効及び無効のいずれであるかを示すフラグを有するキャッシュを備える、計算機と、
複数のアクセス制御ルールを含むセキュリティポリシーを管理し、且つ、前記計算機からの要求に応じて、前記計算機に対応するアクセス制御ルールを前記計算機に送信する、セキュリティサーバと、
を備え、
前記計算機は、前記フラグが無効を示す場合に、前記セキュリティサーバに、対応するアクセス制御ルールの送信を要求し、そして、前記キャッシュに、前記セキュリティサーバから送信されたアクセス制御ルールを保持し、
前記セキュリティサーバは、前記セキュリティポリシーを更新する場合に、前記計算機に、前記フラグが無効を示すように指示を与える、
ことを特徴とする、セキュリティ管理システム。
【0079】
(付記2)
前記計算機が、更に、前記キャッシュが前記アクセス制御ルールを保持していない場合にも、前記セキュリティサーバに、対応するアクセス制御ルールの送信を要求する、請求項1に記載のセキュリティ管理システム。
【0080】
(付記3)
前記計算機が、外部から、前記計算機が備える計算機資源の利用が求められると、
前記フラグが有効であるかどうか、及び前記キャッシュが前記アクセス制御ルールを保持しているかどうかを判定し、
前記フラグが有効であり、且つ、前記キャッシュが前記アクセス制御ルールを保持している場合に、前記アクセス制御ルールに基づいて、前記利用を許可するかどうかを判断する、請求項1又は2に記載のセキュリティ管理システム。
【0081】
(付記4)
複数のセキュリティサーバが備えられ、前記複数のセキュリティサーバは、それぞれ、同一のセキュリティポリシーを管理しており、
前記計算機は、前記複数のセキュリティサーバのいずれかに対して、前記対応するアクセス制御ルールの送信を要求する、請求項1〜3のいずれかに記載のセキュリティ管理システム。
【0082】
(付記5)
前記セキュリティサーバが、送信対象となる前記アクセス制御ルールに、前記計算機から予め受け取ったワンタイム公開鍵を用いて生成したメッセージダイジェストを付加し、
前記計算機が、前記ワンタイム公開鍵によってメッセージダイジェストを生成し、生成したメッセージダイジェストと、前記セキュリティサーバが付加したメッセージダイジェストとが一致する場合に、前記アクセス制御ルールを前記キャッシュに保持させる、
請求項1〜4のいずれかに記載のセキュリティ管理システム。
【0083】
(付記6)
保持されているデータが有効及び無効のいずれであるかを示すフラグを有するキャッシュを備える計算機と、複数のアクセス制御ルールを含むセキュリティポリシーを管理するセキュリティサーバとを用いる、セキュリティ管理方法であって、
(a)前記フラグが無効を示す場合に、前記計算機によって、前記セキュリティサーバに、対応するアクセス制御ルールの送信を要求する、ステップと、
(b)前記セキュリティサーバによって、前記計算機からの要求に応じて、前記計算機に、対応するアクセス制御ルールを送信する、ステップと、
(c)前記計算機によって、前記キャッシュにおいて、前記セキュリティサーバから送信されたアクセス制御ルールを保持する、ステップと、
(d)前記セキュリティサーバによって、前記セキュリティポリシーを更新する場合に、前記計算機に、前記フラグが無効を示すように指示を与える、ステップと、
を有することを特徴とする、セキュリティ管理方法。
【0084】
(付記7)
(e)前記キャッシュが前記アクセス制御ルールを保持していない場合に、前記計算機によって、前記セキュリティサーバに、対応するアクセス制御ルールの送信を要求する、ステップを更に有する、請求項6に記載のセキュリティ管理方法。
【0085】
(付記8)
(f)外部から、前記計算機が備える計算機資源の利用が求められると、前記計算機によって、前記フラグが有効であるかどうか、及び前記キャッシュが前記アクセス制御ルールを保持しているかどうかを判定し、前記フラグが有効であり、且つ、前記キャッシュが前記アクセス制御ルールを保持している場合に、前記アクセス制御ルールに基づいて、前記利用を許可するかどうかを判断する、請求項7に記載のセキュリティ管理方法。
【0086】
(付記9)
複数のセキュリティサーバが備えられ、前記複数のセキュリティサーバは、それぞれ、同一のセキュリティポリシーを管理している場合に、
前記(a)のステップにおいて、前記計算機は、前記複数のセキュリティサーバのいずれかに対して、前記対応するアクセス制御ルールの送信を要求する、請求項6〜8のいずれかに記載のセキュリティ管理方法。
【0087】
(付記10)
(g)前記セキュリティサーバによって、送信対象となる前記アクセス制御ルールに、前記計算機から予め受け取ったワンタイム公開鍵を用いて生成したメッセージダイジェストを付加する、ステップを更に有し、
前記(c)のステップにおいて、前記計算機が、前記ワンタイム公開鍵によってメッセージダイジェストを生成し、生成したメッセージダイジェストと、前記セキュリティサーバが付加したメッセージダイジェストとが一致する場合に、前記アクセス制御ルールを前記キャッシュに保持させる、
請求項6〜9のいずれかに記載のセキュリティ管理方法。
【0088】
(付記11)
保持されているデータが有効及び無効のいずれであるかを示すフラグを有するキャッシュを備える計算機を対象として、コンピュータによって、複数のアクセス制御ルールを含むセキュリティポリシーの管理を行うためのプログラムであって、
前記コンピュータに、
(a)前記フラグが無効を示すことを条件に、前記計算機が、前記セキュリティサーバに、対応するアクセス制御ルールの送信を要求した場合に、前記計算機に対応するアクセス制御ルールを前記計算機に送信し、前記キャッシュに、送信されたアクセス制御ルールを保持させる、ステップと、
(b)前記セキュリティポリシーを更新する場合に、前記計算機に、前記フラグが無効を示すように指示を与える、ステップと、
を実行させるプログラム。
【0089】
(付記12)
保持されているデータが有効及び無効のいずれであるかを示すフラグを有するキャッシュを備えたコンピュータにおいて、そのセキュリティを管理するためのプログラムであって、
前記コンピュータに、
(a)前記フラグが無効を示す場合に、複数のアクセス制御ルールを含むセキュリティポリシーを管理する前記セキュリティサーバに対して、対応するアクセス制御ルールの送信を要求し、そして、前記キャッシュに、送信されたアクセス制御ルールを保持する、ステップと、
(b)前記セキュリティサーバが、前記フラグが無効を示すように指示を与えた場合に、前記フラグを無効にする、ステップと、
を実行させるプログラム。
【産業上の利用可能性】
【0090】
以上のように、本発明によれば、セキュリティポリシーが適用される計算機の負荷の低減と、セキュリティポリシーの更新処理の迅速化とを図ることができる。本発明は、非常に多くの計算機ノードを含むクラスタ環境下で、各計算機に適用されるセキュリティポリシーの集中管理が求められるシステムに有用である。
【符号の説明】
【0091】
10 セキュリティサーバ(実施の形態1)
11 セキュリティサーバ応答部
12 セキュリティポリシー格納部12
13 セキュリティポリシーロード部
14 ネットワーク通信部
20 計算機
21 計算機カーネル部
22 利用者リクエスト処理部
23 計算機資源
24 アクセス制御部
25 アクセス制御判断部
26 キャッシュ
27 ネットワーク通信部
28 アクセス制御ルール
29 フラグ
30 利用者
40 プライマリセキュリティサーバ(実施の形態2)
41 セカンダリセキュリティサーバ(実施の形態2)
50 セキュリティサーバ(実施の形態3)
100 セキュリティ管理システム(実施の形態1)
101 セキュリティ管理システム(実施の形態2)
102 セキュリティ管理システム(実施の形態3)
110 コンピュータ
111 CPU
112 メインメモリ
113 記憶装置
114 入力インターフェイス
115 表示コントローラ
116 データリーダ/ライタ
117 通信インターフェイス
118 入力機器
119 ディスプレイ装置
120 記録媒体
121 バス
【特許請求の範囲】
【請求項1】
保持されているデータが有効及び無効のいずれであるかを示すフラグを有するキャッシュを備える、計算機と、
複数のアクセス制御ルールを含むセキュリティポリシーを管理し、且つ、前記計算機からの要求に応じて、前記計算機に対応するアクセス制御ルールを前記計算機に送信する、セキュリティサーバと、
を備え、
前記計算機は、前記フラグが無効を示す場合に、前記セキュリティサーバに、対応するアクセス制御ルールの送信を要求し、そして、前記キャッシュに、前記セキュリティサーバから送信されたアクセス制御ルールを保持し、
前記セキュリティサーバは、前記セキュリティポリシーを更新する場合に、前記計算機に、前記フラグが無効を示すように指示を与える、
ことを特徴とする、セキュリティ管理システム。
【請求項2】
前記計算機が、更に、前記キャッシュが前記アクセス制御ルールを保持していない場合にも、前記セキュリティサーバに、対応するアクセス制御ルールの送信を要求する、請求項1に記載のセキュリティ管理システム。
【請求項3】
前記計算機が、外部から、前記計算機が備える計算機資源の利用が求められると、
前記フラグが有効であるかどうか、及び前記キャッシュが前記アクセス制御ルールを保持しているかどうかを判定し、
前記フラグが有効であり、且つ、前記キャッシュが前記アクセス制御ルールを保持している場合に、前記アクセス制御ルールに基づいて、前記利用を許可するかどうかを判断する、請求項1又は2に記載のセキュリティ管理システム。
【請求項4】
複数のセキュリティサーバが備えられ、前記複数のセキュリティサーバは、それぞれ、同一のセキュリティポリシーを管理しており、
前記計算機は、前記複数のセキュリティサーバのいずれかに対して、前記対応するアクセス制御ルールの送信を要求する、請求項1〜3のいずれかに記載のセキュリティ管理システム。
【請求項5】
前記セキュリティサーバが、送信対象となる前記アクセス制御ルールに、前記計算機から予め受け取ったワンタイム公開鍵を用いて生成したメッセージダイジェストを付加し、
前記計算機が、前記ワンタイム公開鍵によってメッセージダイジェストを生成し、生成したメッセージダイジェストと、前記セキュリティサーバが付加したメッセージダイジェストとが一致する場合に、前記アクセス制御ルールを前記キャッシュに保持させる、
請求項1〜4のいずれかに記載のセキュリティ管理システム。
【請求項6】
保持されているデータが有効及び無効のいずれであるかを示すフラグを有するキャッシュを備える計算機と、複数のアクセス制御ルールを含むセキュリティポリシーを管理するセキュリティサーバとを用いる、セキュリティ管理方法であって、
(a)前記フラグが無効を示す場合に、前記計算機によって、前記セキュリティサーバに、対応するアクセス制御ルールの送信を要求する、ステップと、
(b)前記セキュリティサーバによって、前記計算機からの要求に応じて、前記計算機に、対応するアクセス制御ルールを送信する、ステップと、
(c)前記計算機によって、前記キャッシュにおいて、前記セキュリティサーバから送信されたアクセス制御ルールを保持する、ステップと、
(d)前記セキュリティサーバによって、前記セキュリティポリシーを更新する場合に、前記計算機に、前記フラグが無効を示すように指示を与える、ステップと、
を有することを特徴とする、セキュリティ管理方法。
【請求項7】
保持されているデータが有効及び無効のいずれであるかを示すフラグを有するキャッシュを備える計算機を対象として、コンピュータによって、複数のアクセス制御ルールを含むセキュリティポリシーの管理を行うためのプログラムであって、
前記コンピュータに、
(a)前記フラグが無効を示すことを条件に、前記計算機が、前記セキュリティサーバに、対応するアクセス制御ルールの送信を要求した場合に、前記計算機に対応するアクセス制御ルールを前記計算機に送信し、前記キャッシュに、送信されたアクセス制御ルールを保持させる、ステップと、
(b)前記セキュリティポリシーを更新する場合に、前記計算機に、前記フラグが無効を示すように指示を与える、ステップと、
を実行させるプログラム。
【請求項8】
保持されているデータが有効及び無効のいずれであるかを示すフラグを有するキャッシュを備えたコンピュータにおいて、そのセキュリティを管理するためのプログラムであって、
前記コンピュータに、
(a)前記フラグが無効を示す場合に、複数のアクセス制御ルールを含むセキュリティポリシーを管理する前記セキュリティサーバに対して、対応するアクセス制御ルールの送信を要求し、そして、前記キャッシュに、送信されたアクセス制御ルールを保持する、ステップと、
(b)前記セキュリティサーバが、前記フラグが無効を示すように指示を与えた場合に、前記フラグを無効にする、ステップと、
を実行させるプログラム。
【請求項1】
保持されているデータが有効及び無効のいずれであるかを示すフラグを有するキャッシュを備える、計算機と、
複数のアクセス制御ルールを含むセキュリティポリシーを管理し、且つ、前記計算機からの要求に応じて、前記計算機に対応するアクセス制御ルールを前記計算機に送信する、セキュリティサーバと、
を備え、
前記計算機は、前記フラグが無効を示す場合に、前記セキュリティサーバに、対応するアクセス制御ルールの送信を要求し、そして、前記キャッシュに、前記セキュリティサーバから送信されたアクセス制御ルールを保持し、
前記セキュリティサーバは、前記セキュリティポリシーを更新する場合に、前記計算機に、前記フラグが無効を示すように指示を与える、
ことを特徴とする、セキュリティ管理システム。
【請求項2】
前記計算機が、更に、前記キャッシュが前記アクセス制御ルールを保持していない場合にも、前記セキュリティサーバに、対応するアクセス制御ルールの送信を要求する、請求項1に記載のセキュリティ管理システム。
【請求項3】
前記計算機が、外部から、前記計算機が備える計算機資源の利用が求められると、
前記フラグが有効であるかどうか、及び前記キャッシュが前記アクセス制御ルールを保持しているかどうかを判定し、
前記フラグが有効であり、且つ、前記キャッシュが前記アクセス制御ルールを保持している場合に、前記アクセス制御ルールに基づいて、前記利用を許可するかどうかを判断する、請求項1又は2に記載のセキュリティ管理システム。
【請求項4】
複数のセキュリティサーバが備えられ、前記複数のセキュリティサーバは、それぞれ、同一のセキュリティポリシーを管理しており、
前記計算機は、前記複数のセキュリティサーバのいずれかに対して、前記対応するアクセス制御ルールの送信を要求する、請求項1〜3のいずれかに記載のセキュリティ管理システム。
【請求項5】
前記セキュリティサーバが、送信対象となる前記アクセス制御ルールに、前記計算機から予め受け取ったワンタイム公開鍵を用いて生成したメッセージダイジェストを付加し、
前記計算機が、前記ワンタイム公開鍵によってメッセージダイジェストを生成し、生成したメッセージダイジェストと、前記セキュリティサーバが付加したメッセージダイジェストとが一致する場合に、前記アクセス制御ルールを前記キャッシュに保持させる、
請求項1〜4のいずれかに記載のセキュリティ管理システム。
【請求項6】
保持されているデータが有効及び無効のいずれであるかを示すフラグを有するキャッシュを備える計算機と、複数のアクセス制御ルールを含むセキュリティポリシーを管理するセキュリティサーバとを用いる、セキュリティ管理方法であって、
(a)前記フラグが無効を示す場合に、前記計算機によって、前記セキュリティサーバに、対応するアクセス制御ルールの送信を要求する、ステップと、
(b)前記セキュリティサーバによって、前記計算機からの要求に応じて、前記計算機に、対応するアクセス制御ルールを送信する、ステップと、
(c)前記計算機によって、前記キャッシュにおいて、前記セキュリティサーバから送信されたアクセス制御ルールを保持する、ステップと、
(d)前記セキュリティサーバによって、前記セキュリティポリシーを更新する場合に、前記計算機に、前記フラグが無効を示すように指示を与える、ステップと、
を有することを特徴とする、セキュリティ管理方法。
【請求項7】
保持されているデータが有効及び無効のいずれであるかを示すフラグを有するキャッシュを備える計算機を対象として、コンピュータによって、複数のアクセス制御ルールを含むセキュリティポリシーの管理を行うためのプログラムであって、
前記コンピュータに、
(a)前記フラグが無効を示すことを条件に、前記計算機が、前記セキュリティサーバに、対応するアクセス制御ルールの送信を要求した場合に、前記計算機に対応するアクセス制御ルールを前記計算機に送信し、前記キャッシュに、送信されたアクセス制御ルールを保持させる、ステップと、
(b)前記セキュリティポリシーを更新する場合に、前記計算機に、前記フラグが無効を示すように指示を与える、ステップと、
を実行させるプログラム。
【請求項8】
保持されているデータが有効及び無効のいずれであるかを示すフラグを有するキャッシュを備えたコンピュータにおいて、そのセキュリティを管理するためのプログラムであって、
前記コンピュータに、
(a)前記フラグが無効を示す場合に、複数のアクセス制御ルールを含むセキュリティポリシーを管理する前記セキュリティサーバに対して、対応するアクセス制御ルールの送信を要求し、そして、前記キャッシュに、送信されたアクセス制御ルールを保持する、ステップと、
(b)前記セキュリティサーバが、前記フラグが無効を示すように指示を与えた場合に、前記フラグを無効にする、ステップと、
を実行させるプログラム。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【公開番号】特開2012−181802(P2012−181802A)
【公開日】平成24年9月20日(2012.9.20)
【国際特許分類】
【出願番号】特願2011−45982(P2011−45982)
【出願日】平成23年3月3日(2011.3.3)
【公序良俗違反の表示】
(特許庁注:以下のものは登録商標)
1.COMPACTFLASH
【出願人】(000004237)日本電気株式会社 (19,353)
【Fターム(参考)】
【公開日】平成24年9月20日(2012.9.20)
【国際特許分類】
【出願日】平成23年3月3日(2011.3.3)
【公序良俗違反の表示】
(特許庁注:以下のものは登録商標)
1.COMPACTFLASH
【出願人】(000004237)日本電気株式会社 (19,353)
【Fターム(参考)】
[ Back to top ]