複合的アクセス認可方法及び装置
【課題】単一のアクセス行為に複数の情報資源がそれぞれの関連性をもって関与する形態の情報システムにおいて、情報システムを利用する組織などに応じた柔軟なアクセス制御規則の設定や管理を容易にする。
【解決手段】 要求された複合的アクセスからそのアクセス種別に応じて、複数の情報資源のいずれかをオブジェクトとする一ないし複数の原始的アクセスを生成し(S04)、生成された原始的アクセスのそれぞれのアクセス種別をオブジェクトの役割と複合的アクセスのアクセス種別とに応じて設定し、その後、原始的アクセスに対して原始的アクセス制御規則に基づいて認可判定を行い(S08)、この認可判定の結果に応じて、要求された複合的アクセスの認可判定を行う。
【解決手段】 要求された複合的アクセスからそのアクセス種別に応じて、複数の情報資源のいずれかをオブジェクトとする一ないし複数の原始的アクセスを生成し(S04)、生成された原始的アクセスのそれぞれのアクセス種別をオブジェクトの役割と複合的アクセスのアクセス種別とに応じて設定し、その後、原始的アクセスに対して原始的アクセス制御規則に基づいて認可判定を行い(S08)、この認可判定の結果に応じて、要求された複合的アクセスの認可判定を行う。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、情報システムにおいて管理される情報資源に対するアクセスを制御する方法及び装置に関し、特に、複数の情報資源が関連付けられて管理されており、ユーザ、実行プロセスその他のエンティティが行う単一のアクセス行為によって、これら関連付けられている複数の情報資源がそれぞれの形で影響を及ぼされるような情報システムにおけるアクセスの認可に関する。
【背景技術】
【0002】
情報システムにおいては、そのシステムにおいて管理されるデータあるいはプログラムなどの情報資源の機密性や資産価値を維持するために、これら情報資源に対する参照、実行、変更、削除などのアクセスを制御する必要がある。一般に、保護対象にアクセスするものをサブジェクトと呼び、保護対象となる情報資源をオブジェクトと呼ぶ。また、参照、実行、変更、削除などといったアクセス行為の別をアクセス種別と呼ぶこととする。アクセス制御のメカニズムは、一般的に、サブジェクトからのアクセス要求を許可すべきか否かを所定の規則に則って判断するアクセス認可処理と、アクセス認可処理の結果に応じて、サブジェクトからのアクセス要求に対応したオブジェクトに対する操作を実際に行うアクセス強制処理とに分けて考えられる。
【0003】
アクセス認可処理の方式を特徴付ける一つの要素として、サブジェクトの有するアクセス権限、すなわち、サブジェクトと実行を許可するオブジェクトとアクセス種別との組をどのように管理するかという点がある。これは、アクセス権限の管理者による権限付与・修正プロセスの効率性や安全性を左右する極めて重要なファクタである。
【0004】
古典的なアクセス認可の方式では、各オブジェクトに対して許可される(あるいは拒絶される)サブジェクトとアクセス種別との組を記述するアクセス制御リストをアクセス制御規則として用い、これによってアクセス権限を管理していた。また、UNIX(登録商標)ファイルシステムにおいては、サブジェクトを個々のエンティティではなく、オブジェクトのオーナ(所有者)、オブジェクトのオーナの所属グループ、任意のサブジェクト、という3つに分類して、アクセス制御リストを管理している。
【0005】
しかしこのような古典的な方法では、サブジェクトやオブジェクトの数が多数に上る場合に、サブジェクトの追加や個々のサブジェクトに認めるべき権限レベルの変更、あるいは、オブジェクトの追加や個々のオブジェクトに必要とされる機密レベルの変更などに従って、アクセス制御リストを適正な状態に保つよう修正しつづける管理コストが極めて高くつくことになる。また、この管理コストの高さに起因して、誤った設定がなされて運用される事態が生じるなど、適切なセキュリティを保つのが困難であった。
【0006】
これに対して近年広く採用され始めているのが、サブジェクトやオブジェクトが持つ属性をパラメータとするアクセス制御ポリシをアクセス制御規則として用いたアクセス認可方式である。アクセス制御ポリシは、アクセスを特徴付けるサブジェクト、オブジェクトならびに操作のそれぞれについての属性をパラメータとする述語表現で構成される。例えば、「役職レベル属性がB以上であるようなサブジェクトによる、機密レベル属性の値が10であるようなオブジェクトへの、種別属性が参照であるような操作、というアクセスは許可する」といったことが形式的に記述される。そして、アクセス要求が発生した際には、そのアクセス要求の各種属性の値を同定し、それらの属性値をアクセス制御ポリシの該当するパラメータ部に代入し、その評価結果に応じてアクセス要求の可否を判定する。
【0007】
アクセス制御ポリシによれば、アクセス制御リストのようにオブジェクトやサブジェクト個々の組み合わせに対して許可・拒絶を定義するのではなく、それらを属性という尺度によってグループ化したものの組み合わせに権限を付与するため、権限管理者による管理プロセスが大幅に効率化されるという効果がある。なお、アクセス制御ポリシのフォーマットの例としては、XACML(非特許文献1を参照)などが挙げられる。
【0008】
ところで、情報システムには、複数の情報資源が関連付けられて管理され、ユーザ、実行プロセスその他のエンティティが行う単一のアクセス行為によって、これら関連付けられている複数の情報資源がそれぞれの形で影響を及ぼされるような形態のものが多く存在する。例えば、UNIX(登録商標)ファイルシステムなどに代表される各種のファイルシステムである。これらのファイルシステムでは、ファイルをディレクトリあるいはフォルダの階層関係で構成されるツリー構造のノード上に配置して管理する。ファイルは、具体的な情報コンテント(内容)を含んだ情報資源であり、また、フォルダ(ディレクトリ)もファイル管理上の情報資源である。フォルダとそこに配置されるファイルやフォルダとの関係を親子関係と呼ぶとすれば、任意のフォルダは0以上のファイルやフォルダを子要素として持ち、任意のファイルやフォルダはツリー構造のルートを除きただ1つの親要素を持つ、といったように関連付けて管理されている。
【0009】
ここで、あるファイルのフォルダから別のフォルダへのコピーというアクセスを例にとって考える。このアクセスの実行を要求するサブジェクトから見ると、このアクセスは、コピー対象のファイルをサブジェクトとし、コピーをアクセス種別とする、単独のアトミックな処理と捉えられる。しかし、この要求を完結する上では、コピー対象のファイルだけでなく、そのファイルが当初配置されていたフォルダと、そのファイルがコピーされる先のフォルダに対しても、それぞれ、子要素の読み取り、新たな子要素の作成、という影響を与える。いわば、これら複数のサブジェクトに対して異なる種別の複数のアクセスを一連のトランザクションとして実行していることになる。このようなアクセスを複合的情報資源アクセスあるいは単に複合的アクセスと呼ぶこととする。
【0010】
複合的アクセスの認可について、UNIX(登録商標)ファイルシステムでは、コピー元のファイルに対する読み取りの可否と、コピー先のフォルダへの書き込みの可否をそれぞれ評価し、両者がともに可だった場合にのみ、そのオペレーションの実行を許可する、といった制御がなされている。一般化すれば、サブジェクトにより要求された単一の複合的アクセスを、そのアクセスに関与する複数の情報資源それぞれをオブジェクトとする原始的なアクセスに分解し、原始的なアクセスのそれぞれについて、それらのオブジェクトに対応するアクセス制御リストを元に認可を行い、それらの結果に基づいて、当初要求された複合的アクセスの認可を行っている、ということができる。
【非特許文献1】OASIS (Organization for the Advancement of Structured Information Standards) : XACML (eXtensible Access Control Markup Language) Version 1.1 Committee Specification, 2003 (http://www.oasis-open.org/committees/xacml/repository/cs-xacml-specification-1.1.pdf)
【発明の開示】
【発明が解決しようとする課題】
【0011】
複数の情報資源が関連付けられて管理される情報システムにおける複合的アクセスの認可の方法としては、上述したようなUNIX(登録商標)ファイルシステムにおける方法が代表的である。しかし、原始的なアクセスの認可で使用されるアクセス制御リストは、既述の通り、サブジェクトやオブジェクトの数が増えるのに応じて、その設定や修正といった管理コストが爆発的に大きくなり、その結果、情報システムあるいはオブジェクトの管理者の負担が極めて高いものとなってしまう。
【0012】
このような問題を解決する一つの有効な方法として、分解された原始的なアクセスの認可を行う際に、属性をパラメータとするアクセス制御ポリシをアクセス制御規則として用いることが考えられる。こうすることで、サブジェクトやオブジェクトの数が多くなったとしても、比較的少ない定義量によって管理することが可能である。
【0013】
しかしながら、たとえこのような改良を行ったとしても、依然として以下のような問題が未解決のまま存在する。
【0014】
第一に、従前の技術では、複合的アクセスを原始的なアクセスに分解する手続きは、情報システムのアクセス制御機構に完全に組み込まれてしまっており、柔軟性に欠ける。例えば、先のUNIX(登録商標)ファイルシステムにおけるコピー操作の分解は、そのファイルシステムのアクセス制御機構の内部に実装されている。よって、情報システムの管理者が、アクセス制御規則の管理にかかるコストの削減や、一貫したセキュリティポリシの強制などを目的として、複合的アクセスを分解して原始的アクセスを導き出す規則をその組織固有のものに変更、修正したいとしても、そのようにカスタマイズするのは極めて困難である。
【0015】
第二に、従前の技術では、複合的アクセスを分解して導き出される原始的なアクセスは、当初要求された複合的アクセスに関与する複数の情報資源の中の一つが排他的に選択されオブジェクトとして設定される。そのため、原始的アクセスの認可においては、そのアクセスにおけるオブジェクトとされる情報資源に関する属性はポリシにおいて条件付けられ、判定結果にも反映されるが、同じ複合的アクセスに関与している他の情報資源の属性を反映したきめ細かな認可は実現できない。
【0016】
第三に、従前の技術では、複合的アクセスから原始的なアクセスに分解する際、複合的アクセスの種別のみを元に原始的アクセスの構成、すなわち、アクセス種別とオブジェクトの組を決定するため、複合的アクセスに関与する情報資源の属性、例えば管理主体や機密性、重要性などに応じた柔軟な決定がなされない。このような方法では、情報資源の管理主体の別や情報資源に求められるセキュリティレベルの違いを反映できず、適切な情報資源の保護が困難になる。
【0017】
本発明は係る点に鑑みてなされたものであり、ユーザ、実行プロセスその他のエンティティが行う単一のアクセス行為に複数の情報資源がそれぞれの関連性をもって関与する形態の情報システムにおいて、情報システムを利用する組織などに応じた柔軟なアクセス制御規則の設定や管理を容易にし、かかるコストを極めて少なくするとともに、アクセスに関与する情報資源の属性に応じたきめ細かなアクセス権限の設定を可能とする、複合的アクセス認可方法及び装置を提供する。
【課題を解決するための手段】
【0018】
本発明の複合的アクセス認可方法は、複数の情報資源が関与する複合的アクセスの要求をサブジェクトから受信した際に、複合的アクセス要求を認可する方法であって、要求された複合的アクセスを第一のアクセスとして、第一のアクセスから、第一のアクセスのアクセス種別に応じて、第一のアクセスに関与する複数の情報資源のいずれかをオブジェクトとする一ないし複数の第二のアクセス(原始的アクセス)を生成する原始的アクセス生成ステップと、生成された第二のアクセスのそれぞれのアクセス種別を、第二のアクセスのオブジェクトの第一のアクセスにおける役割と、第一のアクセスのアクセス種別とに応じて設定する原始的アクセス種別決定ステップと、原始的アクセス生成ステップによって生成され原始的アクセス種別決定ステップによってアクセス種別が設定された一ないし複数の第二のアクセスのそれぞれについて、その第二のアクセスに対応するアクセス制御規則に基づいて認可判定を行う原始的アクセス認可ステップと、原始的アクセス認可ステップにおける認可判定の結果に応じて、要求された複合的アクセスの認可判定を行う総合認可ステップと、を有する。
【0019】
本発明の複合的アクセス認可装置は、複数の情報資源が関与する複合的アクセスの要求をサブジェクトから受信した際に、複合的アクセス要求を認可する複合的アクセス認可装置であって、複合的アクセスの種別ごとにその複合的アクセスに関与する全ての情報資源との関係を示す複合的アクセス定義テーブルと、原始的アクセスの認可に用いられるアクセス制御規則とを保持する情報管理手段と、要求された複合的アクセスを第一のアクセスとして、複合的アクセス定義テーブルを参照して、第一のアクセスから、第一のアクセスのアクセス種別に応じて、第一のアクセスに関与する複数の情報資源のいずれかをオブジェクトとする一ないし複数の原始的アクセスを生成し、生成された原始的アクセスのそれぞれのアクセス種別を、原始的アクセスのオブジェクトの第一のアクセスにおける役割と、第一のアクセスのアクセス種別とに応じて設定し、生成されアクセス種別が設定された一ないし複数の原始的アクセスのそれぞれについて、アクセス制御規則に基づいて認可判定を行い、認可判定の結果に応じて、要求された複合的アクセスの認可判定を行う、認可判定手段と、を有する。
【発明の効果】
【0020】
本発明の第一の効果は、複合的アクセスの認可において、その複合的アクセスを分解して原始的アクセスを生成する手続きを情報システム個別の要請に応じてシステム管理者が柔軟にカスタマイズできるということにある。その理由は、従前の技術では、複合的アクセスの認可手続きそのものが情報システムの内部のアクセス制御機構に完全に組み込まれており、カスタマイズに際して情報システムに対して大幅な改造を必要としていたのに対し、本発明では、複合的アクセスから生成される原始的アクセスの数や各原始的アクセスのオブジェクトおよびアクセス種別を、生成元となる複合的アクセスの種別に対応付けて設定しておくと、その対応付けに基づいて原始的アクセスを生成し、これらの認可結果に基づいて当初の複合的アクセスの認可を実施するから、情報システムの管理者などが対応付けを書き換えることによって、各組織個別の要請に応じた複合的アクセスの認可を実現できるためである。
【0021】
このような規則を柔軟に設定、変更できる機構を備えたことは、個々の原始的アクセス単体での実行は許可しないが、それらの組み合わせによる複合的アクセスであれば許可する(例えば、あるファイルの中身の参照は許さないが、それを他の特定のフォルダに複製する操作であれば許す)といった高度な認可判定が可能になるという効果をさらに有する。
【0022】
本発明の第二の効果は、アクセス制御に組織のセキュリティポリシを反映させるために必要な管理にかかるコストが従前と比べて低減されるということにある。その理由は、本発明では上記のようにして生成される原始的アクセスの認可に用いるアクセス制御規則を、対応付けに基づいて生成される原始的アクセスのサブジェクトおよびオブジェクトの属性に基づいて記述するから、潜在的なサブジェクトやオブジェクトの数が増えたとしても、少ない量のアクセス制御規則で権限を記述、修正できるためである。
【0023】
本発明の第三の効果は、アクセスの認可を従前よりきめ細かい条件で判定できるということにある。その理由は、従前の技術では、原始的アクセスの認可の際に、その原始的アクセスのオブジェクトのみを考慮していたのに対し、本発明では、原始的アクセスのオブジェクトのみならず、その原始的アクセスの生成元となった複合的アクセスに関与している他の情報資源(関連資源情報)の属性をパラメータとしたアクセス制御規則の記述とその評価を行うことが可能になるからである。
【0024】
さらに本発明では、そのような他の情報資源をパラメータとしてアクセス制御規則に記述する際には、原始的アクセスにおける当該原始的アクセスのオブジェクトから見た当該関連情報資源の関係を呼称として指し示すようにしてもよい。そのように構成することにより、原始的アクセスに対応するアクセス制御規則を管理者が記述、修正、確認する際に理解がしやすく、また、原始的アクセスの生成元となる複合的アクセスについての知識を持たなくともこれを行うことができるようになり、それによって、そのような作業の効率化が図れる。さらに、異なる複数の複合的アクセスに同一の原始的アクセスおよびアクセス制御規則を対応させることが可能となり、定義量の削減という効果も生ずる。
【0025】
本発明の第四の効果は、複合的アクセスに関与する情報資源の特性に応じて、必要な処理効率と安全性を持たせた適切な認可を行うことが可能であるということにある。その理由は、原始的アクセスを、複合的アクセスに関与する情報資源の属性に応じて生成するから、同一のアクセス種別の複合的アクセスであっても、生成される原始的アクセスを異ならせることができる。これによって、例えば、アクセス対象の情報資源群の機密性に関する属性の値に応じて、厳密な判定を行う原始的アクセスおよびアクセス制御規則と、その逆に簡易な原始的アクセスおよびアクセス制御規則を使い分け、情報資源の特性に必要十分な厳密性と高速性をもった認可判定を行うことが可能であるためである。また、サブジェクトの属性に応じたアクセス制御規則の使い分けも可能であり、前述と同様に、複合的アクセスを実行するサブジェクトの信頼性や職位などの特性に応じて認可を効率的にしたり、あるいは厳密にしたりといった適応的な認可を行うことができる。
【0026】
本発明の第五の効果は、複数の情報管理主体が存在し、それらが管理する情報資源が一つの情報システム上に混在するような状況において、各情報資源の管理者の意図を反映したアクセス制御が容易に実現できるということにある。その理由は、原始的アクセスの認可に使用するアクセス制御規則を原始的アクセスのアクセス対象の情報資源の特性に応じて選定することが可能であり、例えば、その特性として、アクセス対象の情報資源の管理者を用いて定義することによって、情報資源の管理主体に応じたアクセス制御規則の切り替えが可能であるためである。
【0027】
本発明の第六の効果は、情報資源に対してアクセスする際のインターフェイスが簡素化され、当該情報資源へのアクセスを行うアプリケーションプログラムの設計や実装が容易になるということにある。その理由は、アクセスに関与する全ての情報資源をインターフェイスで指定させるのではなく、アクセスを特徴付けるのに必要最小限の情報資源のみを指定させ、指定されなかった情報資源は指定された情報資源との関連性からアクセス制御機構が機械的、自動的に特定するためである。
【発明を実施するための最良の形態】
【0028】
以下、本発明の好適な実施の形態について、図面を参照しながら詳細に説明する。
【0029】
(第一の実施形態)
図1は、本発明の実施の一形態のアクセス認可方法が適用される情報システムの全体構成を示すブロック図である。この情報システムは、企業内に設置され、その企業の社員等などが業務の遂行に必要な電子化された文書の共有を図るために使用されるものであるとする。
【0030】
この情報システムは、ファイルサーバ1と複数の利用者端末2と利用者属性管理装置3とが通信ネットワーク4を介して接続するよう構成されている。ファイルサーバ1は、企業秘密や個人情報などの保護すべき情報を含む電子ファイルを保持し、本発明に基づくアクセス制御を行いながら、利用者にこれら電子ファイルへのアクセスを提供する。利用者端末2は、利用者が、ファイルサーバ1によって管理される電子ファイルにアクセスし、その電子ファイルに対する閲覧、登録、削除、更新などの操作を行うために用いる端末である。利用者属性管理装置3は、この情報システムが稼動する企業における社員等の情報を一元管理するものであり、ファイルサーバ1をはじめとするその企業内の各種業務システムに対してそのような情報を提供する。ここでファイルサーバ1、利用者端末2及び利用者属性管理装置3は、通信ネットワーク4を介して相互に通信可能である。
【0031】
図2は、ファイルサーバ1の構成を機能ブロックによって示すブロック図である。ファイルサーバ1は、送受信部10、ファイル管理部11、認可判定部12、認証部13、アクセス制御用情報管理部14、属性取得部15及びメンテナンス部16の各機能ブロックから構成されている。これらの機能ブロックの動作は、それぞれ次のようである。
【0032】
送受信部10は、通信ネットワーク4を介して、利用者端末2や利用者属性管理装置3と通信する機能ブロックであり、利用者端末2からのアクセスの要求を受け付けるとともにそれに対する応答を返したり、利用者属性管理装置3に利用者の属性を問い合わせるとともにその応答を取得したりする。
【0033】
ファイル管理部11は、電子ファイルをその属性とともに複数記憶し、さらに、その読み出しや書き込み、作成、複製、消去などの操作機能を提供する。本実施形態において、電子ファイルは、階層化されたツリー構造を持つフォルダ(ディレクトリ)のいずれかに属するように管理されており、フォルダにもまた属性が関連付けられて管理されている。フォルダとそこに配置されるファイルやフォルダとの関係を親子関係と呼ぶとすれば、任意のフォルダは0以上のファイルやフォルダを子要素として持ち、任意のファイルやフォルダはツリー構造のルートを除きただ1つの親要素を持つ、といったように関連付けて管理されている。図5は、ファイル管理部11におけるファイルおよびフォルダならびにこれらの階層関係と属性との管理の例を示す。図において、「ID」は、各電子ファイルを一意に特定するための識別子を示し、「種別」は、ファイルなのかフォルダなのかの別を示し、「親フォルダID」は、対象とするフォルダまたはファイルの親要素となるフォルダのIDを示し、「見かけの名称」は、利用者の理解と把握が容易となるように電子ファイルを一覧などで表示する際にIDの代わりに用いられる見掛けの名称を示している。「属性シンボル」は、IDで指定される各フォルダあるいはファイルごとに定義される属性を示し、「属性値」はそのような属性に与えられている属性値を示している。
【0034】
認可判定部12は、ファイルサーバ1において管理される電子ファイルへの利用者によるアクセスの可否を判定する。
【0035】
認証部13は、ファイルサーバ1において管理される電子ファイルへのアクセスを行う利用者の認証を行う。本実施形態では、利用者の認証は、公開鍵証明書を用いた公開鍵暗号に基づく認証によって行なわれるものとし、認証部13は、利用者の公開鍵証明書の正当性を検証するための認証局の公開鍵証明書も保持する。
【0036】
アクセス制御用情報管理部14は、認可判定部12が利用者による電子ファイルへのアクセスの可否を判定する際に判定基準として使用するアクセス制御用情報群を保持し、認可判定部12に提供する。このアクセス制御用情報群については後に詳述する。
【0037】
属性取得部15は、認可判定部12が利用者による電子ファイルへのアクセスの可否を判定する際にパラメータとして使用する利用者の属性を、送受信部10を介して利用者属性管理装置3に問い合わせて取得し、認可判定部12に提供する。
【0038】
メンテナンス部16は、システム管理者あるいは情報管理者などが情報システムのセキュリティポリシに基づきアクセス制御用情報管理部14において管理されるアクセス制御用情報群の設定、更新、削除などを行うためのインターフェイスを備えている。
【0039】
なおこの実施形態では、公開鍵証明書を用いて利用者認証を行う構成を示しているが、本発明は、このような認証の方法に依存するものではなく、例えば、パスワードの照合による認証を用いたりしてもよい。
【0040】
図3は、利用者端末2の構成を機能ブロックによって示している。利用者端末2は、送受信部20、指示部21、記憶部22、表示部23、処理部24及び被認証部25から構成されている。これらの各機能ブロックの動作はそれぞれ次のようである。
【0041】
送受信部20は、通信ネットワーク4を介してファイルサーバ1と通信するためのものであり、ファイルサーバ1にアクセスの要求を送信するとともに、それに対する応答を取得する。
【0042】
指示部21は、利用者端末2を使用する利用者からのファイルサーバ1へのアクセスやその結果に対する編集操作などの指示を受け付ける部分であり、具体的にはマウスやキーボードなどから構成される。
【0043】
記憶部22は、ファイルサーバ1から取得した電子ファイルやファイルサーバ1に登録する予定の電子ファイルの内容を記憶するものである。
【0044】
表示部23は、ファイルサーバ1へのアクセス要求に対する応答や、取得した電子ファイル、その他の処理結果を表示して利用者に伝える部分であり、具体的にはCRTや液晶ディスプレイなどの表示装置あるいはスピーカーなどの音声出力装置などで構成される。
【0045】
処理部24は、ファイルサーバ1から取得した電子ファイルやファイルサーバ1に登録する予定の電子ファイルを編集あるいは数値計算などのために利用する部分である。
【0046】
被認証部25は、ファイルサーバ1による認証の要求に応じて、利用者端末2を使用する利用者のIDを証明する。前述の通り、本実施形態では公開鍵証明書を用いた認証方式を採用していることから、被認証部25には、利用者の秘密鍵およびこれに対応する公開鍵証明書が保持される。なお、被認証部25のうち利用者の秘密鍵の記憶部分あるいは被認証部25全体を可搬媒体など他の装置に実装して、必要に応じて利用者端末2から切り離せるように構成してもよい。そのような媒体としては、秘密鍵の漏洩によるなりすましなどの被害を予防する観点から、ICカードなどの耐タンパ性を有するものを用いるのが望ましい。
【0047】
図4は、利用者属性管理装置3の構成を機能ブロックによって示している。利用者属性管理装置3は、送受信部30、利用者属性格納部31及びメンテナンス部32から構成されている。これらの機能ブロックの動作はそれぞれ次のようである。
【0048】
送受信部30は、通信ネットワーク4を介して、ファイルサーバ1と通信するものであり、ファイルサーバ1からの利用者属性の取得要求を受け付け、該当する利用者の属性を利用者属性格納部31から取り出して返却する。利用者属性の取得要求は、利用者の識別子である利用者IDを含むものとする。
【0049】
利用者属性格納部31は、情報システム内の正規利用者の各種属性の値を、各利用者のIDに対応付けて保持する。
【0050】
メンテナンス部32は、システム管理者あるいは企業における人事担当者などが利用者属性格納部31において管理される利用者属性の値や利用者のエントリ全体を設定、更新、削除などするために使用する部分である。
【0051】
なお、本実施形態では、利用者の属性を利用者属性管理装置3において一元管理し、利用者の属性を必要とする場合には利用者属性管理装置に問い合わせて取得する構成を示したが、本発明は、このような利用者の属性の管理に依存するものではなく、例えば、利用者ごとにその属性を属性証明書として発行してその利用者に保持させておき、利用者と認証者との間で属性証明書を用いた属性認証を行うことによって、利用者属性管理装置3のような装置を介在させない方法で属性を伝達させてもよい。
【0052】
次に、ファイルサーバ1のアクセス制御用情報管理部14において管理されるアクセス制御用情報群について、より詳細に説明する。アクセス制御用情報管理部14は、アクセス制御用情報として、一つの複合的アクセス定義テーブルと、複数の原始的アクセス導出規則と、複数の原始的アクセス制御規則とを管理する。
【0053】
図6は、複合的アクセス定義テーブルの定義内容の一部を示す。複合的アクセス定義テーブルは、ファイルサーバ1で定義される複合的アクセスの一覧であり、ファイルサーバ1が利用者端末2に対して公開する情報資源へのアクセスのインターフェイスに相当する。
【0054】
複合的アクセス定義テーブルは、複合的アクセスの種別それぞれについて、一レコードとなっており、各レコードは、そのアクセスの種別を識別する複合的アクセス種別シンボル101と、そのアクセス種別の説明102と、そのアクセス種別に対する役割シンボルリスト103とからなっており、役割シンボルリスト103においては、そのアクセス種別のアクセスに関与する全ての情報資源について、その情報資源をそのアクセスにおいて識別する役割シンボル104と、その情報資源の役割の説明105とが対になってい記載されている。例えば、図6に示す例においてレコード106には、「複製される既存ファイルを示す“copiedFile”という役割シンボルを持つ情報資源と、複製される既存ファイルの親フォルダを示す“srcFolder”という役割シンボルを持つ情報資源と、複製された新規ファイルの親フォルダを示す“destFolder”という役割シンボルを持つ情報資源とが関与する、“copyFile”という複合的アクセス種別シンボルを持ったファイルの複製操作」という複合的アクセスが定義されている。
【0055】
図7は、本実施形態において用いる原始的アクセス導出規則の定義例を示している。原始的アクセス導出規則は、利用者端末の利用者によりファイルサーバ1に対して試みられた複合的アクセスに対応して複数の原始的アクセスを生成するために用いられる情報であり、複合的アクセス定義テーブルに定義される複合的アクセス種別に対応して定義される。原始的アクセス導出規則は、その原始的アクセス導出規則の適用対象となる複合的アクセスを、複合的アクセス種別により指定する適用対象指定部111と、複合的アクセスから原始的アクセスを導出する規則を定義した単位導出規則を、導出される原始的アクセスの数だけ含む単位導出規則リスト112から構成される。
【0056】
単位導出規則リスト112に含まれる単位導出規則は、それぞれ、導出される原始的アクセスのオブジェクトを導出元である複合的アクセスにおける情報資源の役割シンボルにより指定するオブジェクト指定部113と、その原始的アクセスのアクセス種別を指定する原始的アクセス種別シンボル114と、関連情報資源定義部115との三つ組み構成を取っている。関連情報資源定義部115では、原始的アクセスのオブジェクト以外のものであってその原始的アクセスの認可を行う際に考慮すべき0個以上の情報資源それぞれについて、その原始的アクセスのオブジェクトからの関連を示す関連情報資源シンボル116と、関連情報資源シンボルに対応する情報資源をその情報資源の導出元となる複合的アクセスにおける役割シンボルにより指定する関連情報資源指定部117とが、‘=’で対応付けられており、このような関連情報資源シンボル116と関連情報資源指定部117との組が1以上連接して記載されている。
【0057】
なお、図8に示すように、原始的アクセス導出規則の適用対象指定部を、その原始的アクセス導出規則の適用対象となる複合的アクセスを複合的アクセス種別により指定する適用対象アクセス種別指定部111Aと、その原始的アクセス導出規則の適用対象となる複合的アクセスを複合的アクセスに関与する任意の情報資源の有する任意の属性により条件付けする適用対象条件指定部111Bとにより構成してもよい。その場合、ある複合的アクセスからの原始的アクセスの導出には、その複合的アクセスのアクセス種別と、その複合的アクセスに関与する情報資源の属性とがそれぞれ適用対象アクセス種別指定部111Aと適用対象条件指定部111Bに合致するような単位導出規則リストが用いられることになる。
【0058】
例えば図8で示される定義状態においては、同じ「ファイルの複製(copyFile)」操作であっても、複製されるファイルの親フォルダ(srcFolder)の“confidentiality”属性の値が“high”である場合には、単位導出規則リスト112Aが原始的アクセスの導出の際に選択され、それ以外の場合(“other”)には、単位導出規則リスト112Bが選択されることになる。
【0059】
また、同じく図8の単位導出規則リスト112Bには、オブジェクト指定部112に“copiedFile”という役割シンボルを持つ単位導出規則が2つ含まれている。このように、単位導出規則リストには同一の役割シンボルをオブジェクト指定部に持つ複数の単位導出規則を含むことができる。このような場合には、ある一つの複合的アクセスから、当該アクセスに関与する一つの情報資源に関する複数の原始的アクセスが導出されることになる。
【0060】
また、同じく図8の単位導出リスト112Bには、関連情報資源定義部115が空欄となっている単位導出規則が含まれるが、このような構成も許される。この場合、その単位導出規則から導出される原始的アクセスは、関連する情報資源が無いとして扱われ、認可判定されることになる。また、同じく図8の単位導出リスト112Bでは、対応する複合的アクセス“copyFile”に関与する情報資源として複合的アクセス定義テーブルにおいて定義されている3種類の情報資源の1つである“srcFolder”を役割とする情報資源について、これをオブジェクト指定部に持つ単位導出規則が存在しない。このように、ある複合的アクセスから当該複合的アクセスに関与する全ての情報資源について、当該情報資源を直接のオブジェクトとする原始的アクセスを導出することは必須ではない。
【0061】
図9は、本実施形態で用いられる原始的アクセス制御規則の定義例を示している。原始的アクセス制御規則は、原始的アクセス導出規則により導出される個々の原始的アクセスの認可に用いられるアクセス制御規則である。原始的アクセス制御規則は、適用対象指定部121と判定条件部122とから構成される。適用対象指定部121は、その原始的アクセス導出規則の適用対象となる原始的アクセスを原始的アクセス種別により指定する。
【0062】
判定条件部122には、属性指定部123、演算子部124、比較値部125の3つのフィールドの値から構成される条件式、あるいはそのような条件式をANDやORなどの論理演算子である結合子126によって複数結合した複合的な条件式が記述される。属性指定部123は、その条件のパラメータを、サブジェクトを表す文字列131とそのサブジェクトの持つ属性を指定する属性シンボル132との組によって、あるいは、オブジェクトを表す文字列134とそのオブジェクトの持つ属性を指定する属性シンボル135の組により指定する。また、比較値部125には、対応する属性指定部123に適用される値と、演算子部124によって指定された演算方法によって比較する対象となる値を、直値133によって、あるいは属性指定部123と同様に、サブジェクトやオブジェクトの別を表す文字列とそれが持つ属性を指定する属性シンボルとの組136により指定する。
【0063】
なお図10に示すように、属性指定部123には、オブジェクトやサブジェクト以外に、その原始的アクセスの生成元の複合的アクセスに関与した他の情報資源の属性を指定することも可能である。このとき、その情報資源は、原始的アクセスに対して定義されている関連情報資源シンボル116により図示符号137、138のように指定する。
【0064】
次に、図11を参照して本実施形態におけるアクセス制御の動作について説明する。
【0065】
まず、利用者端末2では、指示部21が利用者によるファイルやフォルダなどの情報資源に対するアクセス操作を検出し、そのアクセスに関与する情報資源とアクセス種別を特定する(S01)。次に、これら特定した情報を元に、ファイルサーバ1に管理されている複合的アクセス定義テーブル上の定義に則って、複合的アクセス種別シンボルと、関与する情報資源それぞれについてその識別子(ID)とその情報資源の役割シンボルと、その操作を行った利用者すなわちサブジェクトのIDを組にしたものを整形し、ファイルサーバ1にアクセス要求として送信する(S02)。この送信時には、必要に応じて、被認証部25と認証部13とがメッセージを交換し合って、利用者の認証を行う。
【0066】
次に、このようなアクセス要求を受信したファイルサーバ1は、アクセス要求に含まれる複合的アクセス種別シンボルに基づいて、アクセス制御用情報管理部14を検索し、該当する原始的アクセス導出規則を特定する(S03)。なお、原始的アクセス導出規則の適用対象指定部が、図8に示すように適用対象条件指定部を含む場合には、その条件を評価するために必要な情報資源の属性を、ファイル管理部11から取得して使用する。
【0067】
適用すべき原始的アクセス導出規則を特定できたら、特定された原始的アクセス導出規則に含まれる単位導出規則リストを参照して、定義されているだけの原始的アクセスを生成する(S04)。なお、生成される原始的アクセスのサブジェクトは、全て利用者端末から送付されたアクセス要求におけるサブジェクトとする。
【0068】
例えば、<“copyFile”,(“copiedFile=id003”,“srcFolder=id002”,“destFolder=id010”),“subject−id001”>というアクセス要求が送信されたとする。図7を参照すると、複合的アクセス種別“copyFile”に対応する単位導出規則リストには3つの単位導出規則が定義されており、それぞれの導出規則に則って、以下の3つの原始的アクセスが生成される。
【0069】
<“copy”,“id00003”,(“oldParent=id002”,“newParent=id010”)>,
<“copy_child”,“id00002”,(“cloneChild=id003”,“goTo=id010”)>,
<“create_child”,“id00010”,(“comeFrom=id002”)>。
【0070】
なお、各ブラケットの最初の要素は、原始的アクセス種別のシンボルであり、二番目の要素は、その原始的アクセスにおけるオブジェクトのIDである。三番目の要素は、その原始的アクセスに関連性を持つオブジェクト以外の情報資源それぞれについて、その原始的アクセスにおけるその情報資源の関連を示すシンボルと、その情報資源のIDとを“=”で組にしたものを、関連する情報資源の数だけ並べたものである。
【0071】
次に、前記生成された3つの原始的アクセスのそれぞれについて、認可判定を行う(S05)。各原始的アクセスの認可では、まず、認可対象の原始的アクセスの種別に基づいて、アクセス制御用情報管理部14を検索し、適用すべきアクセス制御規則を特定し(S06)、適用すべきアクセス制御規則に現れる、オブジェクトあるいはサブジェクトあるいは関連する情報資源の属性をファイル管理部11あるいは利用者属性管理装置3から取得し(S07)、取得された各種属性をアクセス制御規則に適用して評価し、その真偽値を得て、真が得られた場合は許可とし、偽の場合は拒絶とする(S08)。
【0072】
以上の処理を生成された原始的アクセスのそれぞれについて繰り返し実行する。なお、拒絶と判定された原始的アクセスがあれば、要求された複合的アクセスを拒絶と判定するので、残りの未評価の原始的アクセスに関する認可判定は行わない。
【0073】
全ての原始的アクセスについての認可判定が許可と出た場合には、当該原始的アクセスの導出元となった複合的アクセスを許可と判定し、認可判定部12からファイル管理部11にアクセス要求が伝達されて、そのアクセス要求に対応する操作が実行される(S09)。その後、その操作に対応する操作結果が利用者端末2に返信され(S10)、アクセス要求に関わる処理は終了する。
【0074】
生成された原始的アクセスのうち一つでも認可判定が拒絶とされた場合には、その原始的アクセスの導出元となった複合的アクセスを拒絶とし、その旨の応答を利用者端末2に返信し(S11)、アクセス要求に関わる処理を終了する。
【0075】
(第二の実施形態)
次に、本発明の第二の実施形態について説明する。この実施形態は、上述した第一の実施形態と概ね同様のものであるが、アクセス制御用情報の構成方向が異なっており、それに付随して、ファイルサーバ1が利用者端末2に対して公開する情報資源へのアクセスインターフェイスが異なっている。
【0076】
図12は、本実施形態において用いる複合的アクセス定義テーブルの定義内容の一部を示している。本実施形態における複合的アクセステーブルは、第一の実施形態でのそれと、その意味するところや構成といった点で同様のものである。
【0077】
ただし、各レコードに含まれる役割シンボルリスト103Aには、当該アクセス種別のアクセスに関与する情報資源が全てではなく一部のみが示されている点で大きく異なっている。第一の実施形態における複合的アクセス定義テーブルと比較すると、本実施形態の複合的アクセス定義テーブルでは、例えば、「ファイルの複製(copyFile)」操作に対応するレコードにおいて、「複製される既存ファイルの親フォルダ」を指し示す“srcFolder”が存在しない。
【0078】
また図13に、本実施形態において用いる原始的アクセス導出規則の定義例を示す。本実施形態における原始的アクセス導出規則は、第一の実施形態における原始的アクセス導出規則と、その意味するところや構成といった点で同様のものである。
【0079】
ただし、単位導出規則リスト112に含まれる単位導出規則を構成するオブジェクト指定部113と、関連情報資源定義部115とにおける情報資源の指定方法に、第一の実施形態とは異なる方法が許されている。第一の実施形態では、情報資源の指定は必ず複合的アクセスにおける役割シンボルで行われていたのに対し、第二の実施形態では、複合的アクセスにおける役割シンボル141あるいは143と、情報資源間の情報資源管理上の関連性、すなわちファイル管理部11で管理されている情報資源間の親子関係に基づく関連性を示すシンボル142あるいは144との組で情報資源を指定する方法が追加されている。情報資源管理上の関連性には、フォルダ階層上の親を示す“parent”、同じくフォルダ階層上の子を示す“child”、同一階層にある資源を示す“bros”などがある。
【0080】
例えば、図13に示した二つめのレコードでオブジェクト指定部113に指定されている“copiedFile.parent”は、対応する複合的アクセス“copyFile”において役割“copyFile”に指定された情報資源の親フォルダを指し示す。
【0081】
このような、関連性に基づく情報資源の特定は、原始的アクセスを生成する際(ステップS04)において行われる。
【0082】
具体的には、<“copyFile”,(“copiedFile=id003”,,“destFolder=id010”),“subject−id001”>というアクセス要求が送信されたと仮定した場合、図5を参照すると、役割“copiedFile”に指定された、“id003”をIDに持つ情報資源の親フォルダIDは“id002”であることから、“id002”をIDとして持つ情報資源「営業資料」フォルダが特定される。
【0083】
原始的アクセス導出規則をこのように構成することで、複合的アクセスに関与する情報資源のうち、情報資源管理上の他の情報資源との関連性から一意に特定できる情報資源については、複合的アクセス定義テーブルすなわち情報資源に対するアクセスのインターフェイスから省略することが可能となっている。
【図面の簡単な説明】
【0084】
【図1】本発明の実施の一形態のアクセス制御方法が適用される情報システムの構成を示すブロック図である。
【図2】ファイルサーバの構成を示すブロック図である。
【図3】利用者端末の構成を示すブロック図である。
【図4】利用者属性管理装置の構成を示すブロック図である。
【図5】ファイル管理部における情報資源の管理の様子示す図である。
【図6】複合的アクセス定義テーブルの具体例の一部を示す図である。
【図7】原始的アクセス導出規則の定義例を示す図である。
【図8】原始的アクセス導出規則の別の定義例を示す図である。
【図9】原始的アクセス制御規則の定義例を示す図である。
【図10】原始的アクセス制御規則の別の定義例を示す図である。
【図11】アクセス制御の動作を示すフローチャートである。
【図12】本発明の第二の実施形態で用いる複合的アクセス定義テーブルの具体例の一部を示す図である。
【図13】第二の実施形態で用いる原始的アクセス導出規則の定義例を示す図である。
【符号の説明】
【0085】
1 ファイルサーバ
2 利用者端末
3 利用者属性管理装置
4 通信ネットワーク
10,20,30 送受信部
11 ファイル管理部
12 認可判定部
13 認証部
14 アクセス制御用情報管理部
15 属性取得部
16,32 メンテナンス部
21 指示部
22 記憶部
23 表示部
24 処理部
25 被認証部
31 利用者属性格納部
101 複合的アクセス種別シンボル
102 アクセス種別の説明
103 役割シンボルリスト
104 役割シンボル
105 役割の説明
111 適用対象指定部
112 単位導出規則リスト
113 オブジェクト指定部
114 原始的アクセス種別シンボル
115 関連情報資源定義部
116 関連情報資源シンボル
117 関連情報資源指定部
121 適用対象指定部
122 判定条件部
123 属性指定部
124 演算子部
125 比較値部
126 結合子
【技術分野】
【0001】
本発明は、情報システムにおいて管理される情報資源に対するアクセスを制御する方法及び装置に関し、特に、複数の情報資源が関連付けられて管理されており、ユーザ、実行プロセスその他のエンティティが行う単一のアクセス行為によって、これら関連付けられている複数の情報資源がそれぞれの形で影響を及ぼされるような情報システムにおけるアクセスの認可に関する。
【背景技術】
【0002】
情報システムにおいては、そのシステムにおいて管理されるデータあるいはプログラムなどの情報資源の機密性や資産価値を維持するために、これら情報資源に対する参照、実行、変更、削除などのアクセスを制御する必要がある。一般に、保護対象にアクセスするものをサブジェクトと呼び、保護対象となる情報資源をオブジェクトと呼ぶ。また、参照、実行、変更、削除などといったアクセス行為の別をアクセス種別と呼ぶこととする。アクセス制御のメカニズムは、一般的に、サブジェクトからのアクセス要求を許可すべきか否かを所定の規則に則って判断するアクセス認可処理と、アクセス認可処理の結果に応じて、サブジェクトからのアクセス要求に対応したオブジェクトに対する操作を実際に行うアクセス強制処理とに分けて考えられる。
【0003】
アクセス認可処理の方式を特徴付ける一つの要素として、サブジェクトの有するアクセス権限、すなわち、サブジェクトと実行を許可するオブジェクトとアクセス種別との組をどのように管理するかという点がある。これは、アクセス権限の管理者による権限付与・修正プロセスの効率性や安全性を左右する極めて重要なファクタである。
【0004】
古典的なアクセス認可の方式では、各オブジェクトに対して許可される(あるいは拒絶される)サブジェクトとアクセス種別との組を記述するアクセス制御リストをアクセス制御規則として用い、これによってアクセス権限を管理していた。また、UNIX(登録商標)ファイルシステムにおいては、サブジェクトを個々のエンティティではなく、オブジェクトのオーナ(所有者)、オブジェクトのオーナの所属グループ、任意のサブジェクト、という3つに分類して、アクセス制御リストを管理している。
【0005】
しかしこのような古典的な方法では、サブジェクトやオブジェクトの数が多数に上る場合に、サブジェクトの追加や個々のサブジェクトに認めるべき権限レベルの変更、あるいは、オブジェクトの追加や個々のオブジェクトに必要とされる機密レベルの変更などに従って、アクセス制御リストを適正な状態に保つよう修正しつづける管理コストが極めて高くつくことになる。また、この管理コストの高さに起因して、誤った設定がなされて運用される事態が生じるなど、適切なセキュリティを保つのが困難であった。
【0006】
これに対して近年広く採用され始めているのが、サブジェクトやオブジェクトが持つ属性をパラメータとするアクセス制御ポリシをアクセス制御規則として用いたアクセス認可方式である。アクセス制御ポリシは、アクセスを特徴付けるサブジェクト、オブジェクトならびに操作のそれぞれについての属性をパラメータとする述語表現で構成される。例えば、「役職レベル属性がB以上であるようなサブジェクトによる、機密レベル属性の値が10であるようなオブジェクトへの、種別属性が参照であるような操作、というアクセスは許可する」といったことが形式的に記述される。そして、アクセス要求が発生した際には、そのアクセス要求の各種属性の値を同定し、それらの属性値をアクセス制御ポリシの該当するパラメータ部に代入し、その評価結果に応じてアクセス要求の可否を判定する。
【0007】
アクセス制御ポリシによれば、アクセス制御リストのようにオブジェクトやサブジェクト個々の組み合わせに対して許可・拒絶を定義するのではなく、それらを属性という尺度によってグループ化したものの組み合わせに権限を付与するため、権限管理者による管理プロセスが大幅に効率化されるという効果がある。なお、アクセス制御ポリシのフォーマットの例としては、XACML(非特許文献1を参照)などが挙げられる。
【0008】
ところで、情報システムには、複数の情報資源が関連付けられて管理され、ユーザ、実行プロセスその他のエンティティが行う単一のアクセス行為によって、これら関連付けられている複数の情報資源がそれぞれの形で影響を及ぼされるような形態のものが多く存在する。例えば、UNIX(登録商標)ファイルシステムなどに代表される各種のファイルシステムである。これらのファイルシステムでは、ファイルをディレクトリあるいはフォルダの階層関係で構成されるツリー構造のノード上に配置して管理する。ファイルは、具体的な情報コンテント(内容)を含んだ情報資源であり、また、フォルダ(ディレクトリ)もファイル管理上の情報資源である。フォルダとそこに配置されるファイルやフォルダとの関係を親子関係と呼ぶとすれば、任意のフォルダは0以上のファイルやフォルダを子要素として持ち、任意のファイルやフォルダはツリー構造のルートを除きただ1つの親要素を持つ、といったように関連付けて管理されている。
【0009】
ここで、あるファイルのフォルダから別のフォルダへのコピーというアクセスを例にとって考える。このアクセスの実行を要求するサブジェクトから見ると、このアクセスは、コピー対象のファイルをサブジェクトとし、コピーをアクセス種別とする、単独のアトミックな処理と捉えられる。しかし、この要求を完結する上では、コピー対象のファイルだけでなく、そのファイルが当初配置されていたフォルダと、そのファイルがコピーされる先のフォルダに対しても、それぞれ、子要素の読み取り、新たな子要素の作成、という影響を与える。いわば、これら複数のサブジェクトに対して異なる種別の複数のアクセスを一連のトランザクションとして実行していることになる。このようなアクセスを複合的情報資源アクセスあるいは単に複合的アクセスと呼ぶこととする。
【0010】
複合的アクセスの認可について、UNIX(登録商標)ファイルシステムでは、コピー元のファイルに対する読み取りの可否と、コピー先のフォルダへの書き込みの可否をそれぞれ評価し、両者がともに可だった場合にのみ、そのオペレーションの実行を許可する、といった制御がなされている。一般化すれば、サブジェクトにより要求された単一の複合的アクセスを、そのアクセスに関与する複数の情報資源それぞれをオブジェクトとする原始的なアクセスに分解し、原始的なアクセスのそれぞれについて、それらのオブジェクトに対応するアクセス制御リストを元に認可を行い、それらの結果に基づいて、当初要求された複合的アクセスの認可を行っている、ということができる。
【非特許文献1】OASIS (Organization for the Advancement of Structured Information Standards) : XACML (eXtensible Access Control Markup Language) Version 1.1 Committee Specification, 2003 (http://www.oasis-open.org/committees/xacml/repository/cs-xacml-specification-1.1.pdf)
【発明の開示】
【発明が解決しようとする課題】
【0011】
複数の情報資源が関連付けられて管理される情報システムにおける複合的アクセスの認可の方法としては、上述したようなUNIX(登録商標)ファイルシステムにおける方法が代表的である。しかし、原始的なアクセスの認可で使用されるアクセス制御リストは、既述の通り、サブジェクトやオブジェクトの数が増えるのに応じて、その設定や修正といった管理コストが爆発的に大きくなり、その結果、情報システムあるいはオブジェクトの管理者の負担が極めて高いものとなってしまう。
【0012】
このような問題を解決する一つの有効な方法として、分解された原始的なアクセスの認可を行う際に、属性をパラメータとするアクセス制御ポリシをアクセス制御規則として用いることが考えられる。こうすることで、サブジェクトやオブジェクトの数が多くなったとしても、比較的少ない定義量によって管理することが可能である。
【0013】
しかしながら、たとえこのような改良を行ったとしても、依然として以下のような問題が未解決のまま存在する。
【0014】
第一に、従前の技術では、複合的アクセスを原始的なアクセスに分解する手続きは、情報システムのアクセス制御機構に完全に組み込まれてしまっており、柔軟性に欠ける。例えば、先のUNIX(登録商標)ファイルシステムにおけるコピー操作の分解は、そのファイルシステムのアクセス制御機構の内部に実装されている。よって、情報システムの管理者が、アクセス制御規則の管理にかかるコストの削減や、一貫したセキュリティポリシの強制などを目的として、複合的アクセスを分解して原始的アクセスを導き出す規則をその組織固有のものに変更、修正したいとしても、そのようにカスタマイズするのは極めて困難である。
【0015】
第二に、従前の技術では、複合的アクセスを分解して導き出される原始的なアクセスは、当初要求された複合的アクセスに関与する複数の情報資源の中の一つが排他的に選択されオブジェクトとして設定される。そのため、原始的アクセスの認可においては、そのアクセスにおけるオブジェクトとされる情報資源に関する属性はポリシにおいて条件付けられ、判定結果にも反映されるが、同じ複合的アクセスに関与している他の情報資源の属性を反映したきめ細かな認可は実現できない。
【0016】
第三に、従前の技術では、複合的アクセスから原始的なアクセスに分解する際、複合的アクセスの種別のみを元に原始的アクセスの構成、すなわち、アクセス種別とオブジェクトの組を決定するため、複合的アクセスに関与する情報資源の属性、例えば管理主体や機密性、重要性などに応じた柔軟な決定がなされない。このような方法では、情報資源の管理主体の別や情報資源に求められるセキュリティレベルの違いを反映できず、適切な情報資源の保護が困難になる。
【0017】
本発明は係る点に鑑みてなされたものであり、ユーザ、実行プロセスその他のエンティティが行う単一のアクセス行為に複数の情報資源がそれぞれの関連性をもって関与する形態の情報システムにおいて、情報システムを利用する組織などに応じた柔軟なアクセス制御規則の設定や管理を容易にし、かかるコストを極めて少なくするとともに、アクセスに関与する情報資源の属性に応じたきめ細かなアクセス権限の設定を可能とする、複合的アクセス認可方法及び装置を提供する。
【課題を解決するための手段】
【0018】
本発明の複合的アクセス認可方法は、複数の情報資源が関与する複合的アクセスの要求をサブジェクトから受信した際に、複合的アクセス要求を認可する方法であって、要求された複合的アクセスを第一のアクセスとして、第一のアクセスから、第一のアクセスのアクセス種別に応じて、第一のアクセスに関与する複数の情報資源のいずれかをオブジェクトとする一ないし複数の第二のアクセス(原始的アクセス)を生成する原始的アクセス生成ステップと、生成された第二のアクセスのそれぞれのアクセス種別を、第二のアクセスのオブジェクトの第一のアクセスにおける役割と、第一のアクセスのアクセス種別とに応じて設定する原始的アクセス種別決定ステップと、原始的アクセス生成ステップによって生成され原始的アクセス種別決定ステップによってアクセス種別が設定された一ないし複数の第二のアクセスのそれぞれについて、その第二のアクセスに対応するアクセス制御規則に基づいて認可判定を行う原始的アクセス認可ステップと、原始的アクセス認可ステップにおける認可判定の結果に応じて、要求された複合的アクセスの認可判定を行う総合認可ステップと、を有する。
【0019】
本発明の複合的アクセス認可装置は、複数の情報資源が関与する複合的アクセスの要求をサブジェクトから受信した際に、複合的アクセス要求を認可する複合的アクセス認可装置であって、複合的アクセスの種別ごとにその複合的アクセスに関与する全ての情報資源との関係を示す複合的アクセス定義テーブルと、原始的アクセスの認可に用いられるアクセス制御規則とを保持する情報管理手段と、要求された複合的アクセスを第一のアクセスとして、複合的アクセス定義テーブルを参照して、第一のアクセスから、第一のアクセスのアクセス種別に応じて、第一のアクセスに関与する複数の情報資源のいずれかをオブジェクトとする一ないし複数の原始的アクセスを生成し、生成された原始的アクセスのそれぞれのアクセス種別を、原始的アクセスのオブジェクトの第一のアクセスにおける役割と、第一のアクセスのアクセス種別とに応じて設定し、生成されアクセス種別が設定された一ないし複数の原始的アクセスのそれぞれについて、アクセス制御規則に基づいて認可判定を行い、認可判定の結果に応じて、要求された複合的アクセスの認可判定を行う、認可判定手段と、を有する。
【発明の効果】
【0020】
本発明の第一の効果は、複合的アクセスの認可において、その複合的アクセスを分解して原始的アクセスを生成する手続きを情報システム個別の要請に応じてシステム管理者が柔軟にカスタマイズできるということにある。その理由は、従前の技術では、複合的アクセスの認可手続きそのものが情報システムの内部のアクセス制御機構に完全に組み込まれており、カスタマイズに際して情報システムに対して大幅な改造を必要としていたのに対し、本発明では、複合的アクセスから生成される原始的アクセスの数や各原始的アクセスのオブジェクトおよびアクセス種別を、生成元となる複合的アクセスの種別に対応付けて設定しておくと、その対応付けに基づいて原始的アクセスを生成し、これらの認可結果に基づいて当初の複合的アクセスの認可を実施するから、情報システムの管理者などが対応付けを書き換えることによって、各組織個別の要請に応じた複合的アクセスの認可を実現できるためである。
【0021】
このような規則を柔軟に設定、変更できる機構を備えたことは、個々の原始的アクセス単体での実行は許可しないが、それらの組み合わせによる複合的アクセスであれば許可する(例えば、あるファイルの中身の参照は許さないが、それを他の特定のフォルダに複製する操作であれば許す)といった高度な認可判定が可能になるという効果をさらに有する。
【0022】
本発明の第二の効果は、アクセス制御に組織のセキュリティポリシを反映させるために必要な管理にかかるコストが従前と比べて低減されるということにある。その理由は、本発明では上記のようにして生成される原始的アクセスの認可に用いるアクセス制御規則を、対応付けに基づいて生成される原始的アクセスのサブジェクトおよびオブジェクトの属性に基づいて記述するから、潜在的なサブジェクトやオブジェクトの数が増えたとしても、少ない量のアクセス制御規則で権限を記述、修正できるためである。
【0023】
本発明の第三の効果は、アクセスの認可を従前よりきめ細かい条件で判定できるということにある。その理由は、従前の技術では、原始的アクセスの認可の際に、その原始的アクセスのオブジェクトのみを考慮していたのに対し、本発明では、原始的アクセスのオブジェクトのみならず、その原始的アクセスの生成元となった複合的アクセスに関与している他の情報資源(関連資源情報)の属性をパラメータとしたアクセス制御規則の記述とその評価を行うことが可能になるからである。
【0024】
さらに本発明では、そのような他の情報資源をパラメータとしてアクセス制御規則に記述する際には、原始的アクセスにおける当該原始的アクセスのオブジェクトから見た当該関連情報資源の関係を呼称として指し示すようにしてもよい。そのように構成することにより、原始的アクセスに対応するアクセス制御規則を管理者が記述、修正、確認する際に理解がしやすく、また、原始的アクセスの生成元となる複合的アクセスについての知識を持たなくともこれを行うことができるようになり、それによって、そのような作業の効率化が図れる。さらに、異なる複数の複合的アクセスに同一の原始的アクセスおよびアクセス制御規則を対応させることが可能となり、定義量の削減という効果も生ずる。
【0025】
本発明の第四の効果は、複合的アクセスに関与する情報資源の特性に応じて、必要な処理効率と安全性を持たせた適切な認可を行うことが可能であるということにある。その理由は、原始的アクセスを、複合的アクセスに関与する情報資源の属性に応じて生成するから、同一のアクセス種別の複合的アクセスであっても、生成される原始的アクセスを異ならせることができる。これによって、例えば、アクセス対象の情報資源群の機密性に関する属性の値に応じて、厳密な判定を行う原始的アクセスおよびアクセス制御規則と、その逆に簡易な原始的アクセスおよびアクセス制御規則を使い分け、情報資源の特性に必要十分な厳密性と高速性をもった認可判定を行うことが可能であるためである。また、サブジェクトの属性に応じたアクセス制御規則の使い分けも可能であり、前述と同様に、複合的アクセスを実行するサブジェクトの信頼性や職位などの特性に応じて認可を効率的にしたり、あるいは厳密にしたりといった適応的な認可を行うことができる。
【0026】
本発明の第五の効果は、複数の情報管理主体が存在し、それらが管理する情報資源が一つの情報システム上に混在するような状況において、各情報資源の管理者の意図を反映したアクセス制御が容易に実現できるということにある。その理由は、原始的アクセスの認可に使用するアクセス制御規則を原始的アクセスのアクセス対象の情報資源の特性に応じて選定することが可能であり、例えば、その特性として、アクセス対象の情報資源の管理者を用いて定義することによって、情報資源の管理主体に応じたアクセス制御規則の切り替えが可能であるためである。
【0027】
本発明の第六の効果は、情報資源に対してアクセスする際のインターフェイスが簡素化され、当該情報資源へのアクセスを行うアプリケーションプログラムの設計や実装が容易になるということにある。その理由は、アクセスに関与する全ての情報資源をインターフェイスで指定させるのではなく、アクセスを特徴付けるのに必要最小限の情報資源のみを指定させ、指定されなかった情報資源は指定された情報資源との関連性からアクセス制御機構が機械的、自動的に特定するためである。
【発明を実施するための最良の形態】
【0028】
以下、本発明の好適な実施の形態について、図面を参照しながら詳細に説明する。
【0029】
(第一の実施形態)
図1は、本発明の実施の一形態のアクセス認可方法が適用される情報システムの全体構成を示すブロック図である。この情報システムは、企業内に設置され、その企業の社員等などが業務の遂行に必要な電子化された文書の共有を図るために使用されるものであるとする。
【0030】
この情報システムは、ファイルサーバ1と複数の利用者端末2と利用者属性管理装置3とが通信ネットワーク4を介して接続するよう構成されている。ファイルサーバ1は、企業秘密や個人情報などの保護すべき情報を含む電子ファイルを保持し、本発明に基づくアクセス制御を行いながら、利用者にこれら電子ファイルへのアクセスを提供する。利用者端末2は、利用者が、ファイルサーバ1によって管理される電子ファイルにアクセスし、その電子ファイルに対する閲覧、登録、削除、更新などの操作を行うために用いる端末である。利用者属性管理装置3は、この情報システムが稼動する企業における社員等の情報を一元管理するものであり、ファイルサーバ1をはじめとするその企業内の各種業務システムに対してそのような情報を提供する。ここでファイルサーバ1、利用者端末2及び利用者属性管理装置3は、通信ネットワーク4を介して相互に通信可能である。
【0031】
図2は、ファイルサーバ1の構成を機能ブロックによって示すブロック図である。ファイルサーバ1は、送受信部10、ファイル管理部11、認可判定部12、認証部13、アクセス制御用情報管理部14、属性取得部15及びメンテナンス部16の各機能ブロックから構成されている。これらの機能ブロックの動作は、それぞれ次のようである。
【0032】
送受信部10は、通信ネットワーク4を介して、利用者端末2や利用者属性管理装置3と通信する機能ブロックであり、利用者端末2からのアクセスの要求を受け付けるとともにそれに対する応答を返したり、利用者属性管理装置3に利用者の属性を問い合わせるとともにその応答を取得したりする。
【0033】
ファイル管理部11は、電子ファイルをその属性とともに複数記憶し、さらに、その読み出しや書き込み、作成、複製、消去などの操作機能を提供する。本実施形態において、電子ファイルは、階層化されたツリー構造を持つフォルダ(ディレクトリ)のいずれかに属するように管理されており、フォルダにもまた属性が関連付けられて管理されている。フォルダとそこに配置されるファイルやフォルダとの関係を親子関係と呼ぶとすれば、任意のフォルダは0以上のファイルやフォルダを子要素として持ち、任意のファイルやフォルダはツリー構造のルートを除きただ1つの親要素を持つ、といったように関連付けて管理されている。図5は、ファイル管理部11におけるファイルおよびフォルダならびにこれらの階層関係と属性との管理の例を示す。図において、「ID」は、各電子ファイルを一意に特定するための識別子を示し、「種別」は、ファイルなのかフォルダなのかの別を示し、「親フォルダID」は、対象とするフォルダまたはファイルの親要素となるフォルダのIDを示し、「見かけの名称」は、利用者の理解と把握が容易となるように電子ファイルを一覧などで表示する際にIDの代わりに用いられる見掛けの名称を示している。「属性シンボル」は、IDで指定される各フォルダあるいはファイルごとに定義される属性を示し、「属性値」はそのような属性に与えられている属性値を示している。
【0034】
認可判定部12は、ファイルサーバ1において管理される電子ファイルへの利用者によるアクセスの可否を判定する。
【0035】
認証部13は、ファイルサーバ1において管理される電子ファイルへのアクセスを行う利用者の認証を行う。本実施形態では、利用者の認証は、公開鍵証明書を用いた公開鍵暗号に基づく認証によって行なわれるものとし、認証部13は、利用者の公開鍵証明書の正当性を検証するための認証局の公開鍵証明書も保持する。
【0036】
アクセス制御用情報管理部14は、認可判定部12が利用者による電子ファイルへのアクセスの可否を判定する際に判定基準として使用するアクセス制御用情報群を保持し、認可判定部12に提供する。このアクセス制御用情報群については後に詳述する。
【0037】
属性取得部15は、認可判定部12が利用者による電子ファイルへのアクセスの可否を判定する際にパラメータとして使用する利用者の属性を、送受信部10を介して利用者属性管理装置3に問い合わせて取得し、認可判定部12に提供する。
【0038】
メンテナンス部16は、システム管理者あるいは情報管理者などが情報システムのセキュリティポリシに基づきアクセス制御用情報管理部14において管理されるアクセス制御用情報群の設定、更新、削除などを行うためのインターフェイスを備えている。
【0039】
なおこの実施形態では、公開鍵証明書を用いて利用者認証を行う構成を示しているが、本発明は、このような認証の方法に依存するものではなく、例えば、パスワードの照合による認証を用いたりしてもよい。
【0040】
図3は、利用者端末2の構成を機能ブロックによって示している。利用者端末2は、送受信部20、指示部21、記憶部22、表示部23、処理部24及び被認証部25から構成されている。これらの各機能ブロックの動作はそれぞれ次のようである。
【0041】
送受信部20は、通信ネットワーク4を介してファイルサーバ1と通信するためのものであり、ファイルサーバ1にアクセスの要求を送信するとともに、それに対する応答を取得する。
【0042】
指示部21は、利用者端末2を使用する利用者からのファイルサーバ1へのアクセスやその結果に対する編集操作などの指示を受け付ける部分であり、具体的にはマウスやキーボードなどから構成される。
【0043】
記憶部22は、ファイルサーバ1から取得した電子ファイルやファイルサーバ1に登録する予定の電子ファイルの内容を記憶するものである。
【0044】
表示部23は、ファイルサーバ1へのアクセス要求に対する応答や、取得した電子ファイル、その他の処理結果を表示して利用者に伝える部分であり、具体的にはCRTや液晶ディスプレイなどの表示装置あるいはスピーカーなどの音声出力装置などで構成される。
【0045】
処理部24は、ファイルサーバ1から取得した電子ファイルやファイルサーバ1に登録する予定の電子ファイルを編集あるいは数値計算などのために利用する部分である。
【0046】
被認証部25は、ファイルサーバ1による認証の要求に応じて、利用者端末2を使用する利用者のIDを証明する。前述の通り、本実施形態では公開鍵証明書を用いた認証方式を採用していることから、被認証部25には、利用者の秘密鍵およびこれに対応する公開鍵証明書が保持される。なお、被認証部25のうち利用者の秘密鍵の記憶部分あるいは被認証部25全体を可搬媒体など他の装置に実装して、必要に応じて利用者端末2から切り離せるように構成してもよい。そのような媒体としては、秘密鍵の漏洩によるなりすましなどの被害を予防する観点から、ICカードなどの耐タンパ性を有するものを用いるのが望ましい。
【0047】
図4は、利用者属性管理装置3の構成を機能ブロックによって示している。利用者属性管理装置3は、送受信部30、利用者属性格納部31及びメンテナンス部32から構成されている。これらの機能ブロックの動作はそれぞれ次のようである。
【0048】
送受信部30は、通信ネットワーク4を介して、ファイルサーバ1と通信するものであり、ファイルサーバ1からの利用者属性の取得要求を受け付け、該当する利用者の属性を利用者属性格納部31から取り出して返却する。利用者属性の取得要求は、利用者の識別子である利用者IDを含むものとする。
【0049】
利用者属性格納部31は、情報システム内の正規利用者の各種属性の値を、各利用者のIDに対応付けて保持する。
【0050】
メンテナンス部32は、システム管理者あるいは企業における人事担当者などが利用者属性格納部31において管理される利用者属性の値や利用者のエントリ全体を設定、更新、削除などするために使用する部分である。
【0051】
なお、本実施形態では、利用者の属性を利用者属性管理装置3において一元管理し、利用者の属性を必要とする場合には利用者属性管理装置に問い合わせて取得する構成を示したが、本発明は、このような利用者の属性の管理に依存するものではなく、例えば、利用者ごとにその属性を属性証明書として発行してその利用者に保持させておき、利用者と認証者との間で属性証明書を用いた属性認証を行うことによって、利用者属性管理装置3のような装置を介在させない方法で属性を伝達させてもよい。
【0052】
次に、ファイルサーバ1のアクセス制御用情報管理部14において管理されるアクセス制御用情報群について、より詳細に説明する。アクセス制御用情報管理部14は、アクセス制御用情報として、一つの複合的アクセス定義テーブルと、複数の原始的アクセス導出規則と、複数の原始的アクセス制御規則とを管理する。
【0053】
図6は、複合的アクセス定義テーブルの定義内容の一部を示す。複合的アクセス定義テーブルは、ファイルサーバ1で定義される複合的アクセスの一覧であり、ファイルサーバ1が利用者端末2に対して公開する情報資源へのアクセスのインターフェイスに相当する。
【0054】
複合的アクセス定義テーブルは、複合的アクセスの種別それぞれについて、一レコードとなっており、各レコードは、そのアクセスの種別を識別する複合的アクセス種別シンボル101と、そのアクセス種別の説明102と、そのアクセス種別に対する役割シンボルリスト103とからなっており、役割シンボルリスト103においては、そのアクセス種別のアクセスに関与する全ての情報資源について、その情報資源をそのアクセスにおいて識別する役割シンボル104と、その情報資源の役割の説明105とが対になってい記載されている。例えば、図6に示す例においてレコード106には、「複製される既存ファイルを示す“copiedFile”という役割シンボルを持つ情報資源と、複製される既存ファイルの親フォルダを示す“srcFolder”という役割シンボルを持つ情報資源と、複製された新規ファイルの親フォルダを示す“destFolder”という役割シンボルを持つ情報資源とが関与する、“copyFile”という複合的アクセス種別シンボルを持ったファイルの複製操作」という複合的アクセスが定義されている。
【0055】
図7は、本実施形態において用いる原始的アクセス導出規則の定義例を示している。原始的アクセス導出規則は、利用者端末の利用者によりファイルサーバ1に対して試みられた複合的アクセスに対応して複数の原始的アクセスを生成するために用いられる情報であり、複合的アクセス定義テーブルに定義される複合的アクセス種別に対応して定義される。原始的アクセス導出規則は、その原始的アクセス導出規則の適用対象となる複合的アクセスを、複合的アクセス種別により指定する適用対象指定部111と、複合的アクセスから原始的アクセスを導出する規則を定義した単位導出規則を、導出される原始的アクセスの数だけ含む単位導出規則リスト112から構成される。
【0056】
単位導出規則リスト112に含まれる単位導出規則は、それぞれ、導出される原始的アクセスのオブジェクトを導出元である複合的アクセスにおける情報資源の役割シンボルにより指定するオブジェクト指定部113と、その原始的アクセスのアクセス種別を指定する原始的アクセス種別シンボル114と、関連情報資源定義部115との三つ組み構成を取っている。関連情報資源定義部115では、原始的アクセスのオブジェクト以外のものであってその原始的アクセスの認可を行う際に考慮すべき0個以上の情報資源それぞれについて、その原始的アクセスのオブジェクトからの関連を示す関連情報資源シンボル116と、関連情報資源シンボルに対応する情報資源をその情報資源の導出元となる複合的アクセスにおける役割シンボルにより指定する関連情報資源指定部117とが、‘=’で対応付けられており、このような関連情報資源シンボル116と関連情報資源指定部117との組が1以上連接して記載されている。
【0057】
なお、図8に示すように、原始的アクセス導出規則の適用対象指定部を、その原始的アクセス導出規則の適用対象となる複合的アクセスを複合的アクセス種別により指定する適用対象アクセス種別指定部111Aと、その原始的アクセス導出規則の適用対象となる複合的アクセスを複合的アクセスに関与する任意の情報資源の有する任意の属性により条件付けする適用対象条件指定部111Bとにより構成してもよい。その場合、ある複合的アクセスからの原始的アクセスの導出には、その複合的アクセスのアクセス種別と、その複合的アクセスに関与する情報資源の属性とがそれぞれ適用対象アクセス種別指定部111Aと適用対象条件指定部111Bに合致するような単位導出規則リストが用いられることになる。
【0058】
例えば図8で示される定義状態においては、同じ「ファイルの複製(copyFile)」操作であっても、複製されるファイルの親フォルダ(srcFolder)の“confidentiality”属性の値が“high”である場合には、単位導出規則リスト112Aが原始的アクセスの導出の際に選択され、それ以外の場合(“other”)には、単位導出規則リスト112Bが選択されることになる。
【0059】
また、同じく図8の単位導出規則リスト112Bには、オブジェクト指定部112に“copiedFile”という役割シンボルを持つ単位導出規則が2つ含まれている。このように、単位導出規則リストには同一の役割シンボルをオブジェクト指定部に持つ複数の単位導出規則を含むことができる。このような場合には、ある一つの複合的アクセスから、当該アクセスに関与する一つの情報資源に関する複数の原始的アクセスが導出されることになる。
【0060】
また、同じく図8の単位導出リスト112Bには、関連情報資源定義部115が空欄となっている単位導出規則が含まれるが、このような構成も許される。この場合、その単位導出規則から導出される原始的アクセスは、関連する情報資源が無いとして扱われ、認可判定されることになる。また、同じく図8の単位導出リスト112Bでは、対応する複合的アクセス“copyFile”に関与する情報資源として複合的アクセス定義テーブルにおいて定義されている3種類の情報資源の1つである“srcFolder”を役割とする情報資源について、これをオブジェクト指定部に持つ単位導出規則が存在しない。このように、ある複合的アクセスから当該複合的アクセスに関与する全ての情報資源について、当該情報資源を直接のオブジェクトとする原始的アクセスを導出することは必須ではない。
【0061】
図9は、本実施形態で用いられる原始的アクセス制御規則の定義例を示している。原始的アクセス制御規則は、原始的アクセス導出規則により導出される個々の原始的アクセスの認可に用いられるアクセス制御規則である。原始的アクセス制御規則は、適用対象指定部121と判定条件部122とから構成される。適用対象指定部121は、その原始的アクセス導出規則の適用対象となる原始的アクセスを原始的アクセス種別により指定する。
【0062】
判定条件部122には、属性指定部123、演算子部124、比較値部125の3つのフィールドの値から構成される条件式、あるいはそのような条件式をANDやORなどの論理演算子である結合子126によって複数結合した複合的な条件式が記述される。属性指定部123は、その条件のパラメータを、サブジェクトを表す文字列131とそのサブジェクトの持つ属性を指定する属性シンボル132との組によって、あるいは、オブジェクトを表す文字列134とそのオブジェクトの持つ属性を指定する属性シンボル135の組により指定する。また、比較値部125には、対応する属性指定部123に適用される値と、演算子部124によって指定された演算方法によって比較する対象となる値を、直値133によって、あるいは属性指定部123と同様に、サブジェクトやオブジェクトの別を表す文字列とそれが持つ属性を指定する属性シンボルとの組136により指定する。
【0063】
なお図10に示すように、属性指定部123には、オブジェクトやサブジェクト以外に、その原始的アクセスの生成元の複合的アクセスに関与した他の情報資源の属性を指定することも可能である。このとき、その情報資源は、原始的アクセスに対して定義されている関連情報資源シンボル116により図示符号137、138のように指定する。
【0064】
次に、図11を参照して本実施形態におけるアクセス制御の動作について説明する。
【0065】
まず、利用者端末2では、指示部21が利用者によるファイルやフォルダなどの情報資源に対するアクセス操作を検出し、そのアクセスに関与する情報資源とアクセス種別を特定する(S01)。次に、これら特定した情報を元に、ファイルサーバ1に管理されている複合的アクセス定義テーブル上の定義に則って、複合的アクセス種別シンボルと、関与する情報資源それぞれについてその識別子(ID)とその情報資源の役割シンボルと、その操作を行った利用者すなわちサブジェクトのIDを組にしたものを整形し、ファイルサーバ1にアクセス要求として送信する(S02)。この送信時には、必要に応じて、被認証部25と認証部13とがメッセージを交換し合って、利用者の認証を行う。
【0066】
次に、このようなアクセス要求を受信したファイルサーバ1は、アクセス要求に含まれる複合的アクセス種別シンボルに基づいて、アクセス制御用情報管理部14を検索し、該当する原始的アクセス導出規則を特定する(S03)。なお、原始的アクセス導出規則の適用対象指定部が、図8に示すように適用対象条件指定部を含む場合には、その条件を評価するために必要な情報資源の属性を、ファイル管理部11から取得して使用する。
【0067】
適用すべき原始的アクセス導出規則を特定できたら、特定された原始的アクセス導出規則に含まれる単位導出規則リストを参照して、定義されているだけの原始的アクセスを生成する(S04)。なお、生成される原始的アクセスのサブジェクトは、全て利用者端末から送付されたアクセス要求におけるサブジェクトとする。
【0068】
例えば、<“copyFile”,(“copiedFile=id003”,“srcFolder=id002”,“destFolder=id010”),“subject−id001”>というアクセス要求が送信されたとする。図7を参照すると、複合的アクセス種別“copyFile”に対応する単位導出規則リストには3つの単位導出規則が定義されており、それぞれの導出規則に則って、以下の3つの原始的アクセスが生成される。
【0069】
<“copy”,“id00003”,(“oldParent=id002”,“newParent=id010”)>,
<“copy_child”,“id00002”,(“cloneChild=id003”,“goTo=id010”)>,
<“create_child”,“id00010”,(“comeFrom=id002”)>。
【0070】
なお、各ブラケットの最初の要素は、原始的アクセス種別のシンボルであり、二番目の要素は、その原始的アクセスにおけるオブジェクトのIDである。三番目の要素は、その原始的アクセスに関連性を持つオブジェクト以外の情報資源それぞれについて、その原始的アクセスにおけるその情報資源の関連を示すシンボルと、その情報資源のIDとを“=”で組にしたものを、関連する情報資源の数だけ並べたものである。
【0071】
次に、前記生成された3つの原始的アクセスのそれぞれについて、認可判定を行う(S05)。各原始的アクセスの認可では、まず、認可対象の原始的アクセスの種別に基づいて、アクセス制御用情報管理部14を検索し、適用すべきアクセス制御規則を特定し(S06)、適用すべきアクセス制御規則に現れる、オブジェクトあるいはサブジェクトあるいは関連する情報資源の属性をファイル管理部11あるいは利用者属性管理装置3から取得し(S07)、取得された各種属性をアクセス制御規則に適用して評価し、その真偽値を得て、真が得られた場合は許可とし、偽の場合は拒絶とする(S08)。
【0072】
以上の処理を生成された原始的アクセスのそれぞれについて繰り返し実行する。なお、拒絶と判定された原始的アクセスがあれば、要求された複合的アクセスを拒絶と判定するので、残りの未評価の原始的アクセスに関する認可判定は行わない。
【0073】
全ての原始的アクセスについての認可判定が許可と出た場合には、当該原始的アクセスの導出元となった複合的アクセスを許可と判定し、認可判定部12からファイル管理部11にアクセス要求が伝達されて、そのアクセス要求に対応する操作が実行される(S09)。その後、その操作に対応する操作結果が利用者端末2に返信され(S10)、アクセス要求に関わる処理は終了する。
【0074】
生成された原始的アクセスのうち一つでも認可判定が拒絶とされた場合には、その原始的アクセスの導出元となった複合的アクセスを拒絶とし、その旨の応答を利用者端末2に返信し(S11)、アクセス要求に関わる処理を終了する。
【0075】
(第二の実施形態)
次に、本発明の第二の実施形態について説明する。この実施形態は、上述した第一の実施形態と概ね同様のものであるが、アクセス制御用情報の構成方向が異なっており、それに付随して、ファイルサーバ1が利用者端末2に対して公開する情報資源へのアクセスインターフェイスが異なっている。
【0076】
図12は、本実施形態において用いる複合的アクセス定義テーブルの定義内容の一部を示している。本実施形態における複合的アクセステーブルは、第一の実施形態でのそれと、その意味するところや構成といった点で同様のものである。
【0077】
ただし、各レコードに含まれる役割シンボルリスト103Aには、当該アクセス種別のアクセスに関与する情報資源が全てではなく一部のみが示されている点で大きく異なっている。第一の実施形態における複合的アクセス定義テーブルと比較すると、本実施形態の複合的アクセス定義テーブルでは、例えば、「ファイルの複製(copyFile)」操作に対応するレコードにおいて、「複製される既存ファイルの親フォルダ」を指し示す“srcFolder”が存在しない。
【0078】
また図13に、本実施形態において用いる原始的アクセス導出規則の定義例を示す。本実施形態における原始的アクセス導出規則は、第一の実施形態における原始的アクセス導出規則と、その意味するところや構成といった点で同様のものである。
【0079】
ただし、単位導出規則リスト112に含まれる単位導出規則を構成するオブジェクト指定部113と、関連情報資源定義部115とにおける情報資源の指定方法に、第一の実施形態とは異なる方法が許されている。第一の実施形態では、情報資源の指定は必ず複合的アクセスにおける役割シンボルで行われていたのに対し、第二の実施形態では、複合的アクセスにおける役割シンボル141あるいは143と、情報資源間の情報資源管理上の関連性、すなわちファイル管理部11で管理されている情報資源間の親子関係に基づく関連性を示すシンボル142あるいは144との組で情報資源を指定する方法が追加されている。情報資源管理上の関連性には、フォルダ階層上の親を示す“parent”、同じくフォルダ階層上の子を示す“child”、同一階層にある資源を示す“bros”などがある。
【0080】
例えば、図13に示した二つめのレコードでオブジェクト指定部113に指定されている“copiedFile.parent”は、対応する複合的アクセス“copyFile”において役割“copyFile”に指定された情報資源の親フォルダを指し示す。
【0081】
このような、関連性に基づく情報資源の特定は、原始的アクセスを生成する際(ステップS04)において行われる。
【0082】
具体的には、<“copyFile”,(“copiedFile=id003”,,“destFolder=id010”),“subject−id001”>というアクセス要求が送信されたと仮定した場合、図5を参照すると、役割“copiedFile”に指定された、“id003”をIDに持つ情報資源の親フォルダIDは“id002”であることから、“id002”をIDとして持つ情報資源「営業資料」フォルダが特定される。
【0083】
原始的アクセス導出規則をこのように構成することで、複合的アクセスに関与する情報資源のうち、情報資源管理上の他の情報資源との関連性から一意に特定できる情報資源については、複合的アクセス定義テーブルすなわち情報資源に対するアクセスのインターフェイスから省略することが可能となっている。
【図面の簡単な説明】
【0084】
【図1】本発明の実施の一形態のアクセス制御方法が適用される情報システムの構成を示すブロック図である。
【図2】ファイルサーバの構成を示すブロック図である。
【図3】利用者端末の構成を示すブロック図である。
【図4】利用者属性管理装置の構成を示すブロック図である。
【図5】ファイル管理部における情報資源の管理の様子示す図である。
【図6】複合的アクセス定義テーブルの具体例の一部を示す図である。
【図7】原始的アクセス導出規則の定義例を示す図である。
【図8】原始的アクセス導出規則の別の定義例を示す図である。
【図9】原始的アクセス制御規則の定義例を示す図である。
【図10】原始的アクセス制御規則の別の定義例を示す図である。
【図11】アクセス制御の動作を示すフローチャートである。
【図12】本発明の第二の実施形態で用いる複合的アクセス定義テーブルの具体例の一部を示す図である。
【図13】第二の実施形態で用いる原始的アクセス導出規則の定義例を示す図である。
【符号の説明】
【0085】
1 ファイルサーバ
2 利用者端末
3 利用者属性管理装置
4 通信ネットワーク
10,20,30 送受信部
11 ファイル管理部
12 認可判定部
13 認証部
14 アクセス制御用情報管理部
15 属性取得部
16,32 メンテナンス部
21 指示部
22 記憶部
23 表示部
24 処理部
25 被認証部
31 利用者属性格納部
101 複合的アクセス種別シンボル
102 アクセス種別の説明
103 役割シンボルリスト
104 役割シンボル
105 役割の説明
111 適用対象指定部
112 単位導出規則リスト
113 オブジェクト指定部
114 原始的アクセス種別シンボル
115 関連情報資源定義部
116 関連情報資源シンボル
117 関連情報資源指定部
121 適用対象指定部
122 判定条件部
123 属性指定部
124 演算子部
125 比較値部
126 結合子
【特許請求の範囲】
【請求項1】
複数の情報資源が関与する複合的アクセスの要求をサブジェクトから受信した際に、前記複合的アクセス要求を認可する方法であって、
要求された複合的アクセスを第一のアクセスとして、該第一のアクセスから、該第一のアクセスのアクセス種別に応じて、該第一のアクセスに関与する複数の情報資源のいずれかをオブジェクトとする一ないし複数の第二のアクセスを生成する原始的アクセス生成ステップと、
前記生成された第二のアクセスのそれぞれのアクセス種別を、該第二のアクセスのオブジェクトの第一のアクセスにおける役割と、該第一のアクセスのアクセス種別とに応じて設定する原始的アクセス種別決定ステップと、
前記原始的アクセス生成ステップによって生成され前記原始的アクセス種別決定ステップによってアクセス種別が設定された一ないし複数の第二のアクセスのそれぞれについて、当該第二のアクセスに対応するアクセス制御規則に基づいて認可判定を行う原始的アクセス認可ステップと、
前記原始的アクセス認可ステップにおける認可判定の結果に応じて、前記要求された複合的アクセスの認可判定を行う総合認可ステップと、
を有する、複合的アクセス認可方法。
【請求項2】
前記サブジェクトおよび/または前記情報資源には属性が関連付けられ、
前記アクセス制御規則は、パラメータとして、サブジェクトの属性またはオブジェクトの属性を任意に含んだ条件式であり、
前記原始的アクセス認可ステップは、認可対象である第二のアクセスのオブジェクトあるいはサブジェクトの属性を適用して前記アクセス制御規則を評価することによって当該第二のアクセスの認可判定を行う、請求項1に記載の複合的アクセス認可方法。
【請求項3】
前記アクセス制御規則は、パラメータとして、対応する第二のアクセスの生成元となった第一のアクセスに関与した情報資源のうち、当該第二のアクセスのオブジェクト以外の情報資源である関連情報資源の属性をさらに含み、
前記原始的アクセス認可ステップは、一ないし複数の関連情報資源の属性をさらに適用して前記アクセス制御規則を評価することによって当該第二のアクセスの認可判定を行う、請求項2に記載の複合的アクセス認可方法。
【請求項4】
前記アクセス制御規則における前記関連情報資源の属性は、対応する第二のアクセスのオブジェクトからの当該関連情報資源に対する関係を用いて指し示される、請求項3に記載の複合的アクセス認可方法。
【請求項5】
前記原始的アクセス生成ステップにおいて、生成元となった第一のアクセスに関与する任意の情報資源の属性に応じて第二のアクセスを生成し、
原始的アクセス種別決定ステップにおいて、前記第二のアクセスのそれぞれのアクセス種別を、生成元となった第一のアクセスに関与する任意の情報資源の属性に応じて設定する、請求項1乃至4のいずれか1項に記載の複合的アクセス認可方法。
【請求項6】
前記原始的アクセス認可ステップは、認可対象の第二のアクセスのアクセス種別および/あるいは当該第二のアクセスのオブジェクトの属性に応じて使用するアクセス制御規則を決定するステップを有する、請求項1乃至5のいずれか1項に記載の複合的アクセス認可方法。
【請求項7】
前記原始的アクセス認可ステップは、認可対象の第二のアクセスのオブジェクトの管理者に応じて使用するアクセス制御規則を決定するステップを有する、請求項1乃至6のいずれか1項に記載の複合的アクセス認可方法。
【請求項8】
前記原始的アクセス認可ステップは、認可対象の第二のアクセスのサブジェクトの属性に応じて使用するアクセス制御規則を決定するステップを有する、請求項1乃至7のいずれか1項に記載の複合的アクセス認可方法。
【請求項9】
前記複合的アクセスに関与する情報資源のうち当該アクセス要求に識別情報が含まれない情報資源を、当該アクセス要求に識別情報が含まれる他の情報資源との情報資源間の関連性に基づいて特定する、請求項1乃至8のいずれか1項に記載の複合的アクセス認可方法。
【請求項10】
複数の情報資源が関与する複合的アクセスの要求をサブジェクトから受信した際に、該複合的アクセス要求を認可する複合的アクセス認可装置であって、
複合的アクセスの種別ごとに当該複合的アクセスに関与する全ての情報資源との関係を示す複合的アクセス定義テーブルと、原始的アクセスの認可に用いられるアクセス制御規則とを保持する情報管理手段と、
要求された複合的アクセスを第一のアクセスとして、前記複合的アクセス定義テーブルを参照して、該第一のアクセスから、該第一のアクセスのアクセス種別に応じて、該第一のアクセスに関与する複数の情報資源のいずれかをオブジェクトとする一ないし複数の原始的アクセスを生成し、生成された前記原始的アクセスのそれぞれのアクセス種別を、該原始的アクセスのオブジェクトの第一のアクセスにおける役割と、該第一のアクセスのアクセス種別とに応じて設定し、生成されアクセス種別が設定された一ないし複数の原始的アクセスのそれぞれについて、前記アクセス制御規則に基づいて認可判定を行い、前記認可判定の結果に応じて、前記要求された複合的アクセスの認可判定を行う、認可判定手段と、
を有する複合的アクセス認可装置。
【請求項1】
複数の情報資源が関与する複合的アクセスの要求をサブジェクトから受信した際に、前記複合的アクセス要求を認可する方法であって、
要求された複合的アクセスを第一のアクセスとして、該第一のアクセスから、該第一のアクセスのアクセス種別に応じて、該第一のアクセスに関与する複数の情報資源のいずれかをオブジェクトとする一ないし複数の第二のアクセスを生成する原始的アクセス生成ステップと、
前記生成された第二のアクセスのそれぞれのアクセス種別を、該第二のアクセスのオブジェクトの第一のアクセスにおける役割と、該第一のアクセスのアクセス種別とに応じて設定する原始的アクセス種別決定ステップと、
前記原始的アクセス生成ステップによって生成され前記原始的アクセス種別決定ステップによってアクセス種別が設定された一ないし複数の第二のアクセスのそれぞれについて、当該第二のアクセスに対応するアクセス制御規則に基づいて認可判定を行う原始的アクセス認可ステップと、
前記原始的アクセス認可ステップにおける認可判定の結果に応じて、前記要求された複合的アクセスの認可判定を行う総合認可ステップと、
を有する、複合的アクセス認可方法。
【請求項2】
前記サブジェクトおよび/または前記情報資源には属性が関連付けられ、
前記アクセス制御規則は、パラメータとして、サブジェクトの属性またはオブジェクトの属性を任意に含んだ条件式であり、
前記原始的アクセス認可ステップは、認可対象である第二のアクセスのオブジェクトあるいはサブジェクトの属性を適用して前記アクセス制御規則を評価することによって当該第二のアクセスの認可判定を行う、請求項1に記載の複合的アクセス認可方法。
【請求項3】
前記アクセス制御規則は、パラメータとして、対応する第二のアクセスの生成元となった第一のアクセスに関与した情報資源のうち、当該第二のアクセスのオブジェクト以外の情報資源である関連情報資源の属性をさらに含み、
前記原始的アクセス認可ステップは、一ないし複数の関連情報資源の属性をさらに適用して前記アクセス制御規則を評価することによって当該第二のアクセスの認可判定を行う、請求項2に記載の複合的アクセス認可方法。
【請求項4】
前記アクセス制御規則における前記関連情報資源の属性は、対応する第二のアクセスのオブジェクトからの当該関連情報資源に対する関係を用いて指し示される、請求項3に記載の複合的アクセス認可方法。
【請求項5】
前記原始的アクセス生成ステップにおいて、生成元となった第一のアクセスに関与する任意の情報資源の属性に応じて第二のアクセスを生成し、
原始的アクセス種別決定ステップにおいて、前記第二のアクセスのそれぞれのアクセス種別を、生成元となった第一のアクセスに関与する任意の情報資源の属性に応じて設定する、請求項1乃至4のいずれか1項に記載の複合的アクセス認可方法。
【請求項6】
前記原始的アクセス認可ステップは、認可対象の第二のアクセスのアクセス種別および/あるいは当該第二のアクセスのオブジェクトの属性に応じて使用するアクセス制御規則を決定するステップを有する、請求項1乃至5のいずれか1項に記載の複合的アクセス認可方法。
【請求項7】
前記原始的アクセス認可ステップは、認可対象の第二のアクセスのオブジェクトの管理者に応じて使用するアクセス制御規則を決定するステップを有する、請求項1乃至6のいずれか1項に記載の複合的アクセス認可方法。
【請求項8】
前記原始的アクセス認可ステップは、認可対象の第二のアクセスのサブジェクトの属性に応じて使用するアクセス制御規則を決定するステップを有する、請求項1乃至7のいずれか1項に記載の複合的アクセス認可方法。
【請求項9】
前記複合的アクセスに関与する情報資源のうち当該アクセス要求に識別情報が含まれない情報資源を、当該アクセス要求に識別情報が含まれる他の情報資源との情報資源間の関連性に基づいて特定する、請求項1乃至8のいずれか1項に記載の複合的アクセス認可方法。
【請求項10】
複数の情報資源が関与する複合的アクセスの要求をサブジェクトから受信した際に、該複合的アクセス要求を認可する複合的アクセス認可装置であって、
複合的アクセスの種別ごとに当該複合的アクセスに関与する全ての情報資源との関係を示す複合的アクセス定義テーブルと、原始的アクセスの認可に用いられるアクセス制御規則とを保持する情報管理手段と、
要求された複合的アクセスを第一のアクセスとして、前記複合的アクセス定義テーブルを参照して、該第一のアクセスから、該第一のアクセスのアクセス種別に応じて、該第一のアクセスに関与する複数の情報資源のいずれかをオブジェクトとする一ないし複数の原始的アクセスを生成し、生成された前記原始的アクセスのそれぞれのアクセス種別を、該原始的アクセスのオブジェクトの第一のアクセスにおける役割と、該第一のアクセスのアクセス種別とに応じて設定し、生成されアクセス種別が設定された一ないし複数の原始的アクセスのそれぞれについて、前記アクセス制御規則に基づいて認可判定を行い、前記認可判定の結果に応じて、前記要求された複合的アクセスの認可判定を行う、認可判定手段と、
を有する複合的アクセス認可装置。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11】
【図12】
【図13】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11】
【図12】
【図13】
【公開番号】特開2007−4610(P2007−4610A)
【公開日】平成19年1月11日(2007.1.11)
【国際特許分類】
【出願番号】特願2005−185431(P2005−185431)
【出願日】平成17年6月24日(2005.6.24)
【出願人】(000004226)日本電信電話株式会社 (13,992)
【Fターム(参考)】
【公開日】平成19年1月11日(2007.1.11)
【国際特許分類】
【出願日】平成17年6月24日(2005.6.24)
【出願人】(000004226)日本電信電話株式会社 (13,992)
【Fターム(参考)】
[ Back to top ]