JP5497178B2 - アクセス制御リストの変更 - Google Patents

アクセス制御リストの変更 Download PDF

Info

Publication number
JP5497178B2
JP5497178B2 JP2012526006A JP2012526006A JP5497178B2 JP 5497178 B2 JP5497178 B2 JP 5497178B2 JP 2012526006 A JP2012526006 A JP 2012526006A JP 2012526006 A JP2012526006 A JP 2012526006A JP 5497178 B2 JP5497178 B2 JP 5497178B2
Authority
JP
Japan
Prior art keywords
access control
control list
subject
list entry
union
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
JP2012526006A
Other languages
English (en)
Other versions
JP2013503375A5 (ja
JP2013503375A (ja
Inventor
グラナドス、サヒーム
ブロドフューラー、リチャード、ジョセフ
ブライアント、コーリー
ヤン、スタンリー
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
International Business Machines Corp
Original Assignee
International Business Machines Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by International Business Machines Corp filed Critical International Business Machines Corp
Publication of JP2013503375A publication Critical patent/JP2013503375A/ja
Publication of JP2013503375A5 publication Critical patent/JP2013503375A5/ja
Application granted granted Critical
Publication of JP5497178B2 publication Critical patent/JP5497178B2/ja
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING OR CALCULATING; COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/604Tools and structures for managing or administering access control systems

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Bioethics (AREA)
  • General Health & Medical Sciences (AREA)
  • Computer Hardware Design (AREA)
  • Health & Medical Sciences (AREA)
  • Software Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Automation & Control Theory (AREA)
  • Storage Device Security (AREA)

Description

例示的な実施形態は、アクセス制御リストに関し、より具体的には、アクセス制御リストに関連付けられた論理表現の評価による、アクセス制御リストの動的な増補、削減、及び/又は置換に関する。
様々な異なる技術が成熟するにつれ、より多くのビジネスが、分散型技術を活用して自分たちのビジネス・プロセスを強化することを決断してきた。多くの場合、これらの分散型技術は、ローカルな地域を超えて、ビジネスの及ぶ範囲を拡張するために活用されている。インターネット及びその他のネットワークは、こうした拡張のためのインフラストラクチャを提供することができる。全てのビジネス・オペレーションのバックボーンとして情報技術を用いる際に対処する必要がある1つの根本的かつ極めて不可欠な問題は、アクセス制御である。概念的には、アクセス制御は、サブジェクト・エンティティがオブジェクト上で操作を行うのに十分な権利を有することを保証することから成る。アクセス制御を正しくセットアップすること、及び十分なセキュリティ・プロセスを確立することは、両方とも十分に理解されてはいるものの、さらなる特徴を利用できるようにすべきである。
本発明の目的は、アクセス制御リストに関連付けられた論理表現の評価により、アクセス制御リストを動的に増補、削減、及び/又は置換することである。
1つの例示的な実施形態に従い、サーバ上で、論理表現を評価することにより、アクセス制御リストのベース・パーミッションを変更するための方法が提供される。サーバは、サブジェクト名をオブジェクトについてのアクセス制御リストエントリに対して比較することにより、そのサブジェクトについてのベース・パーミッションを決定する。サーバは、ベースエントリと論理表現エントリとを含む、オブジェクトについてのアクセス制御リストエントリを保持する。論理表現アクセス制御リストエントリはまた、集合演算子であるユニオン、インターセクト、又はリプレースのうちの1つも含む。どのベースエントリをサブジェクトに対して適用するかを決定することに加えて、サーバは、サブジェクトの論理表現属性を用いてオブジェクトについてのアクセス制御リストエントリの論理表現エントリを決定する。論理表現エントリは、サブジェクトの論理表現属性に関してどの論理表現エントリが真であるかを決定するように評価される。真である論理表現エントリについて、サーバは、論理表現エントリの集合演算子を組み合わせて、単一のユニオン・アクセス制御リストと、単一のインターセクト・アクセス制御リストと、単一のリプレース・アクセス制御リストとを得る。リプレース・アクセス制御リストが存在することに応答して、サーバはリプレース演算を実行し、ベースエントリにより定義されたベース・パーミッションをリプレース・アクセス制御リストで置換し、リプレース演算の結果を第1の出力とする。リプレース・アクセス制御リストが存在しないことに応答して、ベース・パーミッションを第1の出力とする。ユニオン・アクセス制御リストが存在することに応答して、サーバは、第1の出力とユニオン・アクセス制御リストとに対してユニオン演算を実行し、ユニオン演算の結果を第2の出力とする。ユニオン・アクセス制御リストが存在しないことに応答して、第1の出力を第2の出力とする。インターセクト・アクセス制御リストが存在することに応答して、サーバは、第2の出力とインターセクト・アクセス制御リストとに対してインターセクト演算を実行し、インターセクト演算の結果を第3の出力とする。インターセクト・アクセス制御リストが存在しないことに応答して、第2の出力を第3の出力とする。サーバは、第3の出力をサブジェクトについての有効なアクセス権として提供する。
これより、一例として、添付の図面を参照して、本発明の実施形態が説明される。
例示的な実施形態によるブロック図を示す。 例示的な実施形態によるフローチャートを示す。 例示的な実施形態によるフローチャートを示す。 例示的な実施形態によるサブジェクトのアクセス図の概念図を示す。 例示的な実施形態によるベン図を示す。 例示的な実施形態に含むことができる能力を有するコンピュータの一例を示す。
アクセス制御にとって、要求側エンティティの場所を考慮に入れることは、通常、エンティティの名前を考慮に入れることほど容易ではない。ビジネスがローカル地域を超えて拡大するに従い、国際法及び地域法がビジネス・オペレーションに影響を与えることがある。イントラネット及びファイアウォール技術も、エンティティがそこからパーミッションを要求する明確に区別された場所を導入し得る。例示的な実施形態において説明されるように、アクセス制御は、所与のサブジェクトの場所を前提としてサブジェクトのアクセス権(right)を変更することができるようにすべきである。さらに、例示的な実施形態において、要求の行われた時刻もまた、サブジェクトのアクセス権の決定に関与すべきである。
本明細書でわかるように、時刻及び場所は、認証の過程に要因として入れることができるサブジェクト属性の例に過ぎない。例示的な実施形態において論じられるように、これらの属性は、論理表現属性を構成するものである。例えば、論理表現属性は、1−N個のサブジェクト名、0−N個のグループ名、サブジェクトのIPアドレス、日、時刻、サブジェクトの接続方式、認証機構などの集合を含むことができる。さらに、論理表現属性を実装する管理者は、所望により、付加的な論理表現属性を含めることができる。
図1において、通信装置15は、ネットワーク30を介して1つ又は複数のサーバ20と通信するように動作する。通信装置15は、例えば、限定ではないが、携帯電話、固定電話、スマートフォン、ソフトウェア電話、携帯情報端末、セットトップボックス(STB)、テレビジョン(TV)、ゲーム機、MP3プレイヤー、コンピュータ、及びサーバを含むことができる。
さらにネットワーク30に関して、ネットワーク30は、通信を容易にするために、ルータ、スイッチ、ハブ、ゲートウェイなどのような、回路交換及び/又はパケット交換技術及びデバイスを含むことができる。ネットワーク30は、通信の無線伝送を提供するために、例えばIEEE802.11規格を利用する有線及び/又は無線コンポーネントを含むことができる。ネットワーク30は、カスタマー・サービス・センターとクライアント/ユーザとの間の通信のために、IPベースのネットワークを含むことができる。ネットワーク30は、特定のユーザにより確立された複数のアカウントを管理することができる。次いで、これらのアカウントを用いて、ここで説明されるサービスへのアクセスを提供することができる。また、ネットワーク30は、例えば、マルチメディア・メッセージング・サービス(MMS)のような規格を利用する有線及び/又は無線コンポーネントを含むことができる。ネットワーク30は、マルチメディア・メッセージング・センター(MMC)を含むことができ、これは、マルチメディア・メッセージング・サービス(MMS)のネットワーク側を実装し、オペレータが移動体通信装置のユーザにマルチメディア・メッセージングを提供することを可能にする。ネットワーク30は、本明細書において論じられる通信のための帯域幅及びサービスの品質を制御することができる、サービス・プロバイダによって管理される管理されたIP及び/又は無線ネットワークを含むことができる。ネットワーク30は、例えばWi−Fi(登録商標)、WiMAX(商標)、Bluetooth(登録商標)などのような無線プロトコル及び技術を用いて、無線方式で実装することができる。ネットワーク30はまた、ローカル・エリア・ネットワーク、広域ネットワーク、大都市圏ネットワーク、インターネット・ネットワーク、又は他の同様のタイプのネットワークのような、パケット交換式ネットワークとすることができる。ネットワーク30は、セルラー通信ネットワーク、固定式無線ネットワーク、無線ローカル・エリア・ネットワーク(LAN)、無線広域ネットワーク(WAN)、パーソナル・エリア・ネットワーク(PAN)、仮想私設ネットワーク(VPN)、イントラネット、又はいずれかの他の適切なネットワークとすることができ、ネットワーク30は、携帯電話中継塔、移動体交換局、基地局、及び無線アクセスポイントといった、信号を送受信するための機器を含むことができる。
例示的な実施形態に従い、ワークステーション10及び/又はサーバ20上のアクセス制御モジュール130を利用して、サーバ20上で、プログラムすること、パーミッション及びアクセス権を設定すること、及びデータを入力することができる。ワークステーション10は、サーバ20に直接接続されてもよく、サーバ20と統合されてもよく、及び/又はネットワーク30を介してサーバ20に動作可能に接続されてもよい。さらに、サーバ20は、アクセス制御モジュール130を全体的及び/又は部分的に含むことができ、かつ、アクセス制御モジュール130とインターフェースすることができる。
例えば、ワークステーション10及び/又はサーバ20上のアクセス制御モジュール130を利用する管理者は、オブジェクト120についてのアクセス制御を設定することができる。説明の目的で、オブジェクト120は、サーバ20上にあるものとして図示されている。しかしながら、オブジェクト120は、付加的なサーバ20上にあってもよい。また、オブジェクト120は、通信装置15を利用するサブジェクト5がアクセスを望む可能性がある、種々のアプリケーション、プログラム、データベース、サーバなどを表すことができる。サーバ20上にあるものとして図示されているオブジェクト120は限定を意味しているのではなく、サーバ20上に描かれているのは単に説明のためであることが理解される。説明の目的で、アクセス制御モジュール130、オブジェクト120、及びデータベース115は、サーバ20のメモリ30に結合されている。メモリ30は、プロセッサによって処理することができるコンピュータ実行可能命令を有するコンピュータ可読媒体である。
例示的な実施形態において、サブジェクト5は、通信装置15を利用してオブジェクト120へのアクセスを試行するので、サブジェクト5と通信装置15とは交換可能に用いることができる。従って、サブジェクト5が用いられる場合、サブジェクト5は、サブジェクト5及び通信装置15の両方を表すものとすることができる。同様に、サブジェクト5は、通信装置15を利用してオブジェクト120にアクセスするので、通信装置15が用いられる場合、通信装置15は、サブジェクト5及び通信装置15の両方を表すものとすることができる。アクセス制御モジュール130を利用する管理者は、例えば事前に、サブジェクト5についてのアクセス権を確立しなければならない。この管理タスクは、ワイルドカードのような機構を利用して、場所、資格証明、及び/又は時刻要件並びにその他の論理表現属性をアクセス権の集合のために設定することができる。次いで、サブジェクト5のような要求側エンティティが、認証のために所与の時刻において自身の資格証明を遠隔の場所、例えば通信装置15の場所から提示する。例示的な実施形態に従い、一旦認証されると、オブジェクト120へのアクセスを求める要求を認証するときに、そのエンティティの資格証明、時刻、及び場所が利用される。
例示的な実施形態は、サブジェクト5のような要求側エンティティのアクセス権の決定における新規な手法を提供する。この手法は、より高い融通性を管理者に与え、かつ、例えば時刻及び場所を考慮に入れる場合にサブジェクト5のアクセス権を確立するための管理者プロセスを簡略化するものであり、本明細書において論じられるように、アクセス権の決定プロセスが、この融通性を提供する。
認証チェックのためのアクセス権の決定に先立ち、管理者は、アクセス制御モジュール130を利用して、アクセス権の集合を、関連付けられたデータベース・タイプ・フィルタ及び計算演算子と共に定義することができる。これらのフィルタは、場所、資格証明、及び時刻属性並びに他のLEAを用いて定義することができる。より複雑なフィルタを利用することもでき、ここで提供される例は単に説明目的のためのものであることが当業者には理解される。さらに、これらのアクセス制御モジュール130のフィルタは、関係型述語、並びにAND、OR、及びNOTのような論理演算子を含むことができる。
例えば、IP=192.* AND SUBJECT=loginl AND DAY>= May 27th and DAY < May 28th。
計算演算子は、その(特定の)所与の時点で、オブジェクト120へのアクセスを要求するサブジェクト5に対して適用可能な最終的に有効なアクセス権の集合を計算するために認証チェックを行うときに、アクセス制御モジュール130によって用いられる。この例示的な実施形態の融通性を前提として、サブジェクト5のアクセス権を決定するプロセスは、現状の技術水準のシステムにおいて見られるような、アクセス権のアクティブな集合を検索するための基本的なキー形式のルックアップではない。その代わりに、アクセス制御モジュール130のプロセスは、以下の操作で説明することができる。
1.例えばキー形式のルックアップを用いて、ベース・アクセス権を決定する。
2.所与の場所、サブジェクト、及び時刻、並びに他のLEAを前提として、そのフィルタが真であると評価した全ての適用可能なアクセス権の集合を収集する。
3.ステップ1の結果に関連付けられた演算子を用いて、ステップ1の結果の全てをインクリメンタルに組み合わせ、そのサブジェクト、場所、及び時刻並びに他のLEAに対して認可されたアクセス権を確立する。次にこれらの認可されたアクセス権を用いて、アクセス要求の認証及び/又は拒否を実施する。
テーブル形式のルックアップに依拠する現状の技術水準のシステムとは異なり、例示的な実施形態は、アクセス制御モジュール130によるインクリメンタル・プロセスとしてアクセス権の決定を行う。インクリメンタル・プロセスは、制御モジュール130によって決定される、サブジェクト5の現在の論理表現属性に基づく動的なプロセスである。このインクリメンタル・プロセスにより、管理者は、認証チェックのために必要とされるアクセス権を確立するために定義しなければならない仕様の数を削減することができる。
一例として、所与のオブジェクト120に対するアクセス制御が、多数の、非常に粒度が細かい(very granular)アクセス権の仕様を必要とする場合を考える。多粒度の仕様は、可能なサブジェクト及び関連付けられたLEAの大きなドメインと関連して、サブジェクト及びLEAの集合の全ての可能な置換ごとに、有効な集合の明示的な仕様を必要とする。有効なアクセス権の異なる集合の差異は、わずかなものであることが多い。非常に大きなドメインを非常に大きな範囲に対してマッピングするための規則を定める数学的関数に類似して、アクセス制御モジュール130のインクリメンタル・プロセスは、管理者が、マッピングごとに明示的に指定する必要なしに、有効なアクセス権に対して広範囲のサブジェクト及びLEAを表すことを可能にする。例えば、アクセス制御モジュール130を利用すると、管理者は、IP=1.2.3.*というIPを有する全ての既存のサブジェクト及びグループのACLの1つ1つを更新するのではなく、IP=1.2.3.*についての1つの新たなLE ACLを設定することができる。
説明の目的で、サーバ20は、ディレクトリデータベースへアクセスするためのプロトコル(Lightweight Directory Access Protocol:LDAP)サーバとすることができる。LDAPサーバは、分散型アプリケーション管理アクセス制御の分かりやすい例である。例示的な実施形態は、LDAPサーバ製品により実装することができるが、例示的な実施形態はLDAPサーバに限定されるものではない。例示的な実施形態のLDAPサーバ20において、サブジェクト5は資格証明により表される。資格証明は、バインド時刻においてアクセスを要求するエンティティ(サブジェクト及び通信装置15)により提示される。通信装置15上のサブジェクト5は、サーバ20と通信して、オブジェクト120にアクセスするためのパーミッションを要求することができ、アクセス制御モジュール130もまた、サブジェクト5の通信装置15とインターフェースして、資格証明を取得する。例えば、サーバ20のアクセス制御モジュール130によって受け取られる資格証明は、バインド識別名(DN)(又はサブジェクト名)及びパスワード、X.509証明書、及び/又はケルベロス・チケットを含むことができる。これらの資格証明は、グループのメンバとすることができる。例えば、サブジェクト5の資格証明は、アクセス制御モジュール130により、1つ又は複数のグループの一部であると認識され得る。メンバとして、サブジェクト5の資格証明は、グループに与えられたアクセス権を継承することができる。アクセス権は、アクセス制御リスト(ACL)パーミッションであり、オブジェクト(例えばオブジェクト120)は、例えばデータベース115内のLDAPエントリである。従って、サブジェクト5は、1つ又は複数のサブジェクト名及び/又はグループ名を有することができる。LDAP管理者は、データベース115内のエントリ及び/又はエントリの集合についての明示的なACLパーミッションを設定しなければならない。管理者は、各々の許可可能な資格証明に対して、及び/又はメンバを有するグループに対して、ACLを設定しなければならない。
以下の例は、2つのベースACLエントリ(例えばベースエントリ150)と、ACLフィルタ(例えば論理表現ACLエントリ170、175、及び/又は180)を有する1つのACLエントリとを備えた、LDAPエントリ(オブジェクト120)を示す。この例では、LEAは、ibm−filterMechanism、ibm−filterTimeOfDay、ibm−filterIPとすることができる。
dn:ou=Second Tier,ou=Male Olympians,o=Olympians,o=Olympia,o=sample
objectclass:organizationalunit
ou: Second Tier
description:second tier Olympians
aclentry:access−id:CN=DIONYSOS,OU=SECONDTIER,OU=MALE OLYMPIANS,O=OLYMPIANS,o=Olympia,o=sample:
normal:rsc:object:ad
aclentry: access−id:CN=HERMES,OU=SECOND TIER,OU=MALE OLYMPIANS,O=OLYMPIANS,o=Olympia,o=sample:normal:rsc
aclentry:access−id:CN=HERA,OU=FEMALE OLYMPIANS,O=OLYMPIANS,o=Olympia,o=sample:object:ad:normal:
rwsc:sensitive:rwsc:critical:rwsc
aclentry:aclFilter:(&(&(ibm−filterMechanism=SIMPLE)(ibmfilterIP=127.0.0.1))(&(ibm−filterDayOfWeek<=6)
(ibmfilterTimeOfDay>=00:00))):intersect:normal:rwsc:at.cn:deny:w:restricted:rs
通信装置15上のサブジェクト5から取得された資格証明を利用することで、アクセス制御モジュール130は、データベース115からベースACLエントリ150を確立することができる。ベースACLエントリ150は、サブジェクト5からの属性をデータベース115内でマッチングすることにより確立することができる。ここで、大いに異なるIPアドレスからの資格証明を用いることができる場合を考える。このような場合、現在の技術水準のシステムでは、異なるIPアドレスは、多くの異なるACLパーミッションエントリを必要とする結果となり、1つの資格証明に対する全てのIPアドレスがセキュリティ要件を満たすことを保証するのは、セキュリティ管理者にとっては煩雑であり得る。
しかしながら、例示的な実施形態は、ACLマッチング属性を利用することができるが、所与の属性を前提として特定のACLを設定することに加えて、アクセス制御モジュール130は、論理表現属性(通信装置15のIPアドレス、資格証明、認証機構、通信装置15のアクセス日付、及び/又は通信装置15のアクセス曜日、及び/又は通信装置15のアクセス時刻を含む)に基づいて、ベースACLパーミッション155に対するインクリメンタルな更新を可能にするように構成される。例示的な実施形態に従い、アクセス制御モジュール130によるインクリメンタルな更新は、
1.ユニオン・キーワードを用いる場合の、ベースACLパーミッション150の増補、
2.インターセクト・キーワードを用いる場合の、ベースACLパーミッション150の削減、及び
3.リプレース・キーワードを用いる場合の、ベースACLパーミッション150の置換
を含む。時には、実施例は、説明のみを目的としてIPアドレスを参照して説明されることがあるが、当業者であれば、例示的な実施形態はIPアドレスに限定されることが意図されるものではないことを理解する。
例示的な実施形態において、ベースACLエントリ150は、オブジェクト120へのアクセスを試行するサブジェクト5のベースACLアクセス権/パーミッションに対応及び/又は関連する。また、論理表現(LE)ACLエントリ160は、論理表現(LE)ACLアクセス権/パーミッションに対応及び/又は関連する。同様に、全ユニオンACLエントリ170、全インターセクトACLエントリ175、及び全リプレースACLエントリ180は、全ユニオンACLアクセス権/パーミッション170、全インターセクトACLアクセス権/パーミッション175、及び全リプレースACLアクセス権/パーミッション180に対応及び/又は関連する。当業者には理解されるように、上記の用語は、本開示において交換可能に用いることができる。
例示的な実施形態において、アクセス制御モジュール130のユニオン・キーワードは、例えばIPアドレス、資格証明、認証機構、及び/又はアクセス時刻などの所与のLEAを前提として、管理者がパーミッションの最小集合を保証することを可能にする。インターセクト・キーワードは、ベースACLパーミッション150がパーミッションを認可するときかつそのときに限り、特定のパーミッションのみが利用可能であることを保証する一方で、管理者がパーミッションの組を削減することを可能にする。
アクセス制御モジュール130を利用することにより、例示的な実施形態に従い、現在のACL仕様を、検索フィルタ・フィールド及び追加の集合演算フィールド(例えばデータベース115における)として指定された論理表現を含むように拡張することができる。アクセス制御モジュール130は、検索フィルタ・フィールドを、サブジェクト及びそのLEA並びにデータベース115の追加の演算フィールドに対して比較して、論理表現(LE)ACLエントリ160をインクリメンタルに作成する。アクセス制御モジュール130はLE ACLエントリ160を用いて、LEパーミッション160を決定する。一例として、仕様は、以下のように更新することができる。
aclEntry:[access−id:|group:|role:]subject_DN:granted_rights|
aclFilter:filter:operation:granted_rights(角括弧は随意のアイテムを表す)
ここで、
operation:−ユニオン|インターセクト|リプレース
filter:−サブジェクトのLEAを表す属性を用いることができる述語を含む基本的なLDAP検索フィルタ。例えば、以下の属性を用いることができる。
ibm−filterIP
ibm−filterDayOfWeek
ibm−filterTimeOfDay
rights:−標準ACL仕様、即ち、異なるタイプのLDAPオブジェクト仕様についてのパーミッションの集合であり、明示的なパーミッション拒否を含むことができる。
図4は、例示的な実施形態による、サブジェクト・アクセス図400の概念図を示す。概念的に、ACL決定プロセスは以下のように説明することができる。
アクセス制御モジュール130は、資格証明に対して適用可能な所与のベースACLエントリ150を前提として、ACLパーミッション150のベース集合を決定する。所与のベースACLエントリ150を前提としたベースACLパーミッション150は、現在の技術水準のシステムを表す。
例示的な実施形態によれば、所与のベースACLエントリ150を前提としたベースACLパーミッション150は、ACL内の新たなフィルタ・フィールド及びデータベース115内の新たなマッチング属性を考慮に入れないことに留意されたい。例示的な実施形態により、(追加の)インストレーションを移行する際に、既存のACL仕様のベースACLエントリ150の変更が必要とされなくなる。アクセス制御モジュール130は、即ち資格証明、アクセス時刻、IPアドレス、認証機構などの所与のマッチング論理表現属性を前提として、真であるとフィルタが評価したあらゆる論理表現(LE)エントリ150を収集する。以下の2つの例を考える。
第1に、サブジェクト5により、土曜日(数字6で表される)、日曜日(数字0で表される)の間にアクセスが試行された場合、アクセス権を削減する。aclentry: aclFilter:(|(ibm−filterDayOfWeek=0)(ibm−filterDayOfWeek=6)):intersect:critical:rwsc:restricted:rwsc
第2に、サブジェクト5により、月曜から金曜の間に同一のコンピュータ(例えば、通信装置15)を用いてアクセスが試行された場合、アクセス権の最小集合を保証する。aclentry: aclFilter:(&(ibm−filterIP=127.0.0.1)(ibm−filterDayOfWeek>=1))(ibm−filterDayOfWeek<=5)):UNION:critical:rwsc:restricted:rwsc
複数のACLエントリフィルタが真であると評価した場合には、アクセス制御モジュール130は、同じ演算型の全てのアクセス権を合併して、サブジェクト5についてのインターセクト、ユニオン、及びリプレース演算型ごとに1つの別個の代表ACLエントリを設定する。即ち、各演算ごとに、アクセス制御モジュール130は、サブジェクト5についての、全ユニオンACLエントリ170、全インターセクトACLエントリ175、及び全リプレースACLエントリ180を決定し、一緒にグループ化する。図1に示されるように、LE ACLエントリ160は、サブジェクト5についての全ユニオンACLエントリ170、全インターセクトACLエントリ175、及び全リプレースACLエントリ180を含む。
アクセス制御モジュール130は、代表的全インターセクトACLエントリ175、代表的全ユニオンACLエントリ170、及び代表的全リプレースACLエントリ180の各々を、以下の順序でベースACLエントリ150に適用することができる。
1.アクセス制御モジュール130により、データベース115から全リプレースACLエントリ180が取得された場合には、アクセス制御モジュール130は、ベースACLエントリ150を、サブジェクト5についての全リプレースACLエントリ180パーミッションで置換するように動作する。
2.アクセス制御モジュール130により、データベース115から全ユニオンACLエントリ170が取得された場合には、アクセス制御モジュール130は、全ユニオンACLエントリ170パーミッションを、演算1の結果得られるパーミッションの集合に合併する(union)か、又は全リプレースACLエントリ180が存在しない場合には、ベースACLエントリ150に合併するように動作する。
3.アクセス制御モジュール130により、データベース115から全インターセクトACLエントリ175が取得された場合には、アクセス制御モジュール130は、インターセクトACLパーミッション175と、演算2の結果得られるパーミッションの集合との共通部分をとる(intersect)。演算2の結果得られるパーミッションの集合が存在しない場合には、アクセス制御モジュール130は、全インターセクトACLエントリ175と、演算1の結果得られるパーミッションの集合との共通部分をとる。全リプレースACLエントリ180及び/又は全ユニオンACLエントリ170が存在しなければ、アクセス制御モジュール130は、全インターセクトACLエントリ175とベースACLエントリ150との共通部分をとる。
演算3の結果が、最終有効ACLである。アクセス制御モジュール130のインクリメンタルな計算プロセス中には、いかなる明示的なパーミッション拒否も排除されない。最後に、明示的な拒否パーミッションが最終有効ACL内に設定され、それにより認証に影響を与える。
オブジェクト120に対する通信装置15上のサブジェクト5の最終有効ACLアクセス権/パーミッションを決定するために、以下の例が示される(図4には図示せず)。
オブジェクト→アクセス制御リスト(ACL)=
{{すべてのベースACLエントリ}U{すべての論理表現ACLエントリ}}
例示的な実施形態において、このインクリメンタルな手法は、セキュリティ要件の強化における管理者の努力を簡略化する。ベースACLを設定し、新たなキーワードを用いることにより、多重の冗長なACL仕様を指定する必要性を減らすことができる。
ここで図2及び図3を参照すると、図2及び図3は、例示的な実施形態によるフローチャート200を示す。
205において、アクセス制御モジュール130と通信することにより、通信装置15を利用するサブジェクト5は、サーバ20のオブジェクト120に対するアクセスを探索し、かつ要求する。サブジェクト5は、識別名(DN)のような種々の資格証明をアクセス制御モジュール130に入力することができる。
210において、アクセス制御モジュール130は、サブジェクト5の識別名(DN)をデータベース115内の全てのACLエントリに対して比較するように動作し、一致が見つかった場合は、アクセス制御モジュール130は、DN=一致した全てのサブジェクトDNの集合、として同定するように動作する。
215において、一致するサブジェクト5のDNが存在しない場合は、アクセス制御モジュール130は、サブジェクト5が属するいずれかのグループのDNをデータベース115内の全てのACLエントリに対して比較するように動作し、一致が見つかった場合には、DN=一致した全てのグループDNの集合、として同定するように動作する。
220において、アクセス制御モジュール130は、ベースACL=演算210又は演算215から得られた全ての一致するACLエントリのUNION、として決定するように動作する。演算220の結果が、ベースACLエントリ150である。
225において、アクセス制御モジュール130は、オブジェクト120についての論理表現を有する全てのACLエントリを決定するように動作する。演算225の結果が、LE表現ACLエントリ160である。
230において、アクセス制御モジュール130は、サブジェクト5に対して適用可能な論理表現属性の集合を用いて、論理表現を有するオブジェクト120についての全てのLE ACLエントリを評価するように動作する。アクセス制御モジュール130により評価されるサブジェクト5についての論理表現属性は、通信装置15のIPアドレス、サブジェクト5がオブジェクト120にアクセスを試行した日、サブジェクト5がオブジェクト120にアクセスを試みた日、通信装置15からサーバ20への接続方式、及び/又は認証機構を含む。例示的な実施形態によれば、管理者は、異なるLEAの集合を決定することができることに留意されたい。例えば、アクセス制御モジュール130は、以下の論理表現が真であるか否かを判断し、その中のアクセス権を提供するように動作可能である。(IP=192.5.1.2.AND Time>5am AND Day=Monday):INTERSECT→{書き込み(Write),削除(Delete)}
235において、アクセス制御モジュール130は、表現が真であると評価された、同様の集合演算子(例えばINTERSECT、UNION、及びREPLACE)を有する全てのACLエントリを合併することにより組み合わせて、演算子ごとに1つのACLを得るように動作する。例えば、真であると評価された、LE ACLエントリ160内のユニオン演算子を有するオブジェクト120についてのデータベース115内の全てのACLエントリが、アクセス制御モジュール130によって組み合わされて、全ユニオンACLエントリ170が得られる。同様にして、真であると評価された、LE ACLエントリ160内のインターセクト演算子を有する全てのACLエントリが組み合わされて、全インターセクトACLエントリ175が得られる。同じように、真であると評価された、LE ACLエントリ160内のリプレース演算子を有する全てのACLエントリが組み合わされて、全リプレースACLエントリ180が得られる。
図2及び図3に加えて、ここで図5も参照する。図5は、例示的な実施形態の特徴を説明するベン図を示す。図5において、ボックス500は、ベースACLエントリ150、全論理表現ユニオンACLエントリ170、全論理表現インターセクトACLエントリ175、及び/又は全論理表現リプレースACLエントリ180を示す。
全ユニオン・エントリ170、全インターセクト・エントリ175、及び/又は全リプレース・エントリ180を含む、真であると評価されたLE ACLエントリ160を決定した後、アクセス制御モジュール130は、これらの全エントリ170、175、及び180を利用して、サブジェクト5についてのアクセス権をインクリメンタルに決定することに進む。240において、アクセス制御モジュール130は、以下の表現、「REPLACE ACLが見いだされた場合には、BASE ACLのみを棄却してREPLACE ACLを用い、それ以外の場合には、BASE ACLを用いて続行する。BASE ACLが見いだされない場合には、空のACLを用いて続行する」を評価するように動作する。図5を参照すると、ボックス505は、アクセス制御モジュール130が、ベースACLエントリ150を全論理表現リプレースACLエントリ180で置換する、リプレース演算を実行するように動作することを示す。
245において、アクセス制御モジュール130は、以下の表現、「UNION ACLが見いだされた場合には、UNION ACLと演算240の結果とに対してUNION演算を実行し、UNION ACLが見いだされない場合には、演算240の結果を用いて続行する。」を評価するように動作する。図5を参照すると、ボックス510は、アクセス制御モジュール130が、ボックス505の結果と全論理表現ユニオンACLエントリ170とを合併するユニオン演算を実行するように動作することを示す。
250において、アクセス制御モジュール130は、以下の表現、「INTERCECT ACLが見いだされた場合には、INTERCECT ACLと演算245の結果とに対してINTERCECT演算を実行し、INTERCECT ACLが見いだされない場合には、演算245の結果を用いて続行する。」を評価するように動作する。図5を参照すると、ボックス515は、アクセス制御モジュール130が、ボックス510の結果と全論理表現インターセクトACLエントリ175との共通部分をとるインターセクト演算を実行するように動作することを示す。
255において、アクセス制御モジュール130は、演算250の結果を最終有効ACLとして取得するように動作する。図5を参照すると、ボックス520は、通信装置15を利用するサブジェクト5についての最終有効ACLエントリを示す。最終有効ACLエントリは、サブジェクト5のためのアクセス権/パーミッションである。
260において、アクセス制御モジュール130は、最終有効ACLを用いて、サーバ20上にあるオブジェクト120へのサブジェクトのアクセスを許可又は拒否する。例えば、所与のサブジェクト5及びその論理表現属性を前提として、リプレース演算、ユニオン演算、及び/又はインターセクト演算を行うプロセスの結果、オブジェクト120に特有のアクセス権の集合が得られる。これらのアクセス権は、サブジェクト5ができること又はできないことを支配する。
例示的な実施形態において、オブジェクト120は、アクセス制御リストを通じて保護されているリソースである。一例として、オブジェクト120は、サーバ20上にホストされた種々のウェブページとすることができ、サブジェクト5は、サーバ20のウェブページへのアクセスを要求している。サブジェクト5及び/又は通信装置15といったサブジェクトは、オブジェクトへのアクセスを探索するエンティティである。サブジェクトは、N個のアイデンティティ及び/又は識別名(DN)の集合を有する。グループは、N個のサブジェクトの集合であり、グループは、それ自体のDNにより同定される。
アクセス権は、認可された又は拒否されたパーミッションである。集合演算子は、インターセクト、ユニオン、及び/又はリプレースのうちの1つである。アクセス制御リスト(ACL)は、一意の、アクセス権に対するNサブジェクト/グループDNのマッピング・エントリ及び/又はアクセス権に対する論理表現+集合演算子のマッピング・エントリのリストである。例えば、
Subj1→{読み出し(Read),書き込み(Write),コピー(Copy)}
Group2→{削除(Delete),リネーム(Rename),更新(Update);読み出し拒否(Deny Read)}
(IP=192.5.1.2 AND Time>5am AND Day=Monday):INTERSECT→{書き込み(Write),削除(Delete)}。
各オブジェクトについて、LEAが、アクセス制御モジュール130により定義される。論理表現エントリ及びベースACLエントリが、オブジェクトにリンクされる。LEAは、サブジェクトに対応する。サブジェクトのLEAを用いて、オブジェクトにリンクされた論理表現ACLエントリを評価する。
さらに集合演算子のタイプに関して、以下はインターセクト演算子についての定義である。集合A INTERSECT 集合B=集合C、ここで集合Cは、BOTH A AND Bの中の要素のみを含む。以下はインターセクト演算子の例である:{A,B,C,D}INTERSECT{B,C,E,F}={B,C}。共通部分をとられる双方の集合が同一でない限り、インターセクト演算の結果、サブジェクトのアクセス権は削減される。
以下はユニオン演算子についての定義である。集合A UNION 集合B=集合C、ここで集合Cは、EITHER A or Bの中の要素を含む。以下はユニオン演算子の例である:{A,B,C,D}UNION{B,C,E,F}={A,B,C,D,E,F}。合併される双方の集合が同一でない限り、ユニオン演算の結果、サブジェクトのアクセス権は増補される。
リプレース演算は、ベース・パーミッションを、リプレース・パーミッションについての論理表現のパーミッションで置換するものであり、ベース・パーミッションとリプレース・パーミッションとの間に一致が存在する必要はない。
例示的な実施形態の1つの実装において、ベースACLエントリのベース・パーミッションと全ユニオンACLエントリ、全インターセクトACLエントリ、及び全リプレースACLエントリのパーミッションとを組み合わせる場合には、第1にリプレース演算が実行され、第2にユニオン演算が実行され、第3にインターセクト演算が実行される。
図1を参照すると、例示的な実施形態は、これに限定されないが、図1に示されるブロック図100で実装することができる。さらに、サーバ20は、多数のサーバを表すことができる。通信装置15及びサブジェクト5は、エンティティを表す多数の通信装置及びサブジェクトを表すことができる。ワークステーション10及びネットワーク30は、多数のワークステーション及びネットワークを表すことができる。また、オブジェクト120は、多数のリソースを表すことができる。従って、図1に示されたブロック図100は、その中に描かれた要素の数に限定されるものでもなく、要素のその通りの構成及び動作接続に限定されるものでもない。さらに、図1のシステム100に記載された要素を増やすこと、減らすこと、又は置き換えることができることが、当業者には理解される。また、サーバ20、通信装置15、及びワークステーション10は、図6において論じられるように、プロセッサ・ベースのコンピュータ・システムにおいて実装することができ、例示的な実施形態に従って動作及び機能するようにプログラムすることができる。
図6は、例示的な実施形態に含めることができる能力を有するコンピュータ600の一例を示す。本明細書において論じられる種々の方法、手続き、モジュール、流れ図、及び技術は、コンピュータ600の能力を組み込むこと及び/又は利用することもできる。コンピュータ600の1つ又は複数の能力は、通信装置15、ワークステーション10、及びサーバ20といった本明細書において論じられるいずれかの要素で実装することができる。
一般に、ハードウェア・アーキテクチャの観点から、コンピュータ600は、ローカル・インターフェース(図示せず)を介して通信可能に結合された、1つ又は複数のプロセッサ610と、コンピュータ可読メモリ620と、1つ又は複数の入力及び/又は出力(I/O)デバイス670とを含むことができる。ローカル・インターフェースは、当該技術分野において公知のように、例えば、1つ又は複数のバス又は他の有線若しくは無線接続とすることができるが、これらに限定されるものではない。ローカル・インターフェースは、通信を可能にするために、コントローラ、バッファ(キャッシュ)、ドライバ、中継器、及び受信器といった付加的な要素を有することができる。さらに、ローカル・インターフェースは、上記のコンポーネント間での適切な通信を可能にするために、アドレス、制御、及び/又はデータ接続を含むことができる。
プロセッサ610は、メモリ620内に格納することができるソフトウェアを実行するためのハードウェア・デバイスである。プロセッサ610は事実上、あらゆる特注又は市販のプロセッサ、中央演算処理ユニット(CPU)、データ信号プロセッサ(DSP)、又は、コンピュータ600に関連付けられた幾つかのプロセッサの中の補助プロセッサとすることができ、またプロセッサ610は、半導体ベースのマイクロプロセッサ(マイクロチップの形状)又はマクロプロセッサとすることができる。
コンピュータ可読メモリ620は、揮発性メモリ素子(例えば、ダイナミック・ランダム・アクセス・メモリ(DRAM)、スタティック・ランダム・アクセス・メモリ(SRAM)などのランダム・アクセス・メモリ(RAM))、及び不揮発性メモリ素子(例えば、ROM、消去可能プログラム可能読み出し専用メモリ(EPROM)、電子的消去可能プログラム可能読み出し専用メモリ(EEPROM)、プログラム可能読み出し専用メモリ(PROM)、テープ、コンパクトディスク読み出し専用メモリ(CD−ROM)、ディスク、ディスケット、カートリッジ、カセットなど)のいずれか1つ又は組み合わせを含むことができる。さらに、メモリ620は、電子式、磁気式、光学式、及び/又は他のタイプの記憶媒体を組み入れることができる。種々のコンポーネントが互いに遠隔に位置しているが、プロセッサ610によってアクセスすることができる場合、メモリ620は、分散型アーキテクチャを有することができることに留意されたい。
コンピュータ可読メモリ620は、論理関数を実行するための実行可能命令の順序付けられたリストを各々が含む、1つ又は複数の独立したプログラムを含むことができる。メモリ620内のソフトウェアは、適切なオペレーティング・システム(O/S)650、コンパイラ640、ソース・コード630、及び例示的な実施形態の1つ又は複数のアプリケーション660を含む。図示されるように、アプリケーション660は、例示的な実施形態の特徴、プロセス、方法、機能、及び操作を実装するための多数の機能的コンポーネントを含む。コンピュータ600のアプリケーション660は、本明細書において論じられるように、多数のアプリケーション、エージェント、ソフトウェア・コンポーネント、モジュール、インターフェースなどを表すことができるが、アプリケーション660は、限定を意図していない。
オペレーティング・システム650は、他のコンピュータ・プログラムの実行を制御することができ、スケジューリング、入力−出力制御、ファイル及びデータ管理、メモリ管理並びに通信制御、並びに関連サービスを提供する。
アプリケーション660は、サービス指向アーキテクチャを使用することができ、これは、互いに通信するサービスの集まりとすることができる。また、サービス指向アーキテクチャは、2つ又はそれ以上のサービスが、アクティビティを協調させる及び/又は実施することを可能にする(例えば、もう一方の代理として)。サービスの間の各対話は、各々の対話が他のいずれかの対話とは独立したものとなるように、自己完結的で緩やかに結合されたものとすることができる。
さらに、アプリケーション660は、ソース・プログラム、実行可能プログラム(オブジェクト・コード)、スクリプト、又はその他の、実行される命令の集合を含むなんらかのエンティティとすることができる。ソース・プログラムの場合、プログラムは通常、O/S650との関連で適正に動作するように、メモリ620内に含まれていることも、含まれていないこともある、コンパイラ(例えばコンパイラ640)、アセンブラ、インタープリタなどを通じて変換される。さらに、アプリケーション660は、(a)データ及び方法のクラスを有するオブジェクト指向プログラミング言語として、又は(b)ルーチン、サブルーチン、及び/又は関数を有する手続き型プログラミング言語として、記述することができる。
I/Oデバイス670は、例えば、限定はしないが、マウス、キーボード、スキャナ、マイクロフォン、カメラなどのような、入力デバイス(又は周辺装置)を含むことができる。さらにまた、I/Oデバイス670は、例えば、限定はしないが、プリンタ、ディスプレスなどといった出力デバイス(又は周辺装置)を含むこともできる。最後に、I/Oデバイス670は、例えば、限定はしないが、NIC又は変調器/復調器(遠隔デバイス、その他のファイル、デバイス、システム、又はネットワークへのアクセス用)、無線周波数(RF)又はその他の送受信機、電話インターフェース、ブリッジ、ルータなどといった、入力と出力の両方を通信するデバイスをさらに含むことができる。I/Oデバイス670は、インターネット又はイントラネットのような種々のネットワークを介して通信するためのコンポーネントも含む。I/Oデバイス670は、Bluetooth接続及びケーブル(例えばユニバーサル・シリアルバス(USB)ポート、シリアルポート、パラレルポート、ファイアウォール、HDMI(高精細度マルチメディア・インターフェース)などを経由)を利用して、プロセッサ610に接続し及び/又はこれと通信することができる。
コンピュータ660の動作中、プロセッサ610はメモリ620内に格納されたソフトウェアを実行し、メモリ620との間でデータを通信し、コンピュータ600の動作をソフトウェアに従って一般に制御するように構成される。アプリケーション660及びO/S650は、プロセッサ610により全体又は一部が読み出され、ことによるとプロセッサ610内にバッファリングされ、その後実行される。
アプリケーション660がソフトウェアに実装される場合は、アプリケーション660は、いずれかのコンピュータ関連システム又は方法により、又はこれとの関連で使用するための、事実上すべてのコンピュータ可読媒体に格納することができることに留意されたい。本文書の文脈において、コンピュータ可読媒体は、コンピュータ関連システム又は方法により、又はこれとの関連で使用するためのコンピュータ・プログラムを収容又は格納することができる、電子的、磁気的、光学的、又は他の物理的なデバイス又は手段とすることができる。
アプリケーション660は、命令実行システム、装置、又はデバイスから命令をフェッチして、その命令を実行することができる、コンピュータ・ベースのシステム、プロセッサを含むシステム、又はその他のシステムのような、命令実行システム、装置、サーバ、又はデバイスによって、又はこれとの関連で使用するための、任意のコンピュータ可読媒体620において具体化することができる。本文書の文脈において、「コンピュータ可読媒体」は、命令実行システム、装置、又はデバイスによって、又はこれとの関連で使用するためのプログラムを格納し、読み出し、書き込み、通信し、又は輸送することができる任意の手段とすることができる。コンピュータ可読媒体は、例えば、電子的、磁気的、光学的、又は半導体のシステム、装置、又はデバイスとすることができるが、これらに限定されるものではない。
コンピュータ可読媒体620のより具体的な例(非網羅的なリスト)として、1つ又は複数の配線を有する電気的接続(電子的)、ポータブル・コンピュータ・ディスケット(磁気的又は光学的)、ランダム・アクセス・メモリ(RAM)(電子的)、読み出し専用メモリ(ROM)(電子的)、消去可能プログラム可能読み出し専用メモリ(EPROM、EEPROM、又はフラッシュメモリ)(電子的)、光ファイバ(光学的)、及びポータブル・コンパクト・ディスク読み出し専用メモリ(CDROM、CD R/W)(光学的)が挙げられる。プログラムが印刷又は穿孔された紙又は他の適切な媒体も、そのプログラムを例えば、その紙又は他の媒体の光学スキャンによって電子的にキャプチャし、次いで、必要に応じて、コンパイルし、解釈し、又はそれ以外の適切な手法で処理し、その後、コンピュータ・メモリ内に格納することができるので、コンピュータ可読媒体は、紙又は別の適切な媒体とすることさえできることに留意されたい。
例示的な実施形態において、アプリケーション660がハードウェアに実装される場合、アプリケーション360は、その各々が当該技術分野において周知の、データ信号に対して論理関数を実行するための論理ゲートを有する個別の論理回路、適切な組み合わせ式論理ゲートを有する特定用途向け集積回路(ASIC)、プログラマブル・ゲート・アレイ(PGA)、フィールド・プログラマブル・ゲート・アレイ(FGPA)などの技術のいずれか1つ又は組み合わせによって実装することができる。
コンピュータ600は、本明細書において論じられた種々のデバイス、サーバ、及びシステムの中に含めることができるソフトウェア及びハードウェア・コンポーネントの非限定的な例を含むことが理解され、かつ、例示的な実施形態において論じられた種々のデバイス及びシステムの中に、付加的なソフトウェア及びハードウェア・コンポーネントを含めることができることが理解される。
本明細書において用いられる用語は、特定の実施形態を説明する目的のみで用いられており、本発明を限定することを意図するものではない。本明細書において用いられる単数形の定冠詞「a」、「an」、及び不定冠詞「the」は、文脈が明らかにそうでないことを示していない限り、複数形を含むことが意図される。「含む」及び/又は「含んでいる」という用語は、本明細書において用いられる場合、言及した特徴、整数、ステップ、操作、要素、及び/又はコンポーネントの存在を特定するが、1つ又は複数の他の特徴、整数、ステップ、操作、要素、コンポーネント、及び/又はそれらの群の存在又は追加を排除するものではないこともさらに理解されよう。
以下の特許請求の範囲における全ての「手段又はステップと機能との組合せ(ミーンズ又はステップ・プラス・ファンクション)」要素の対応する構造、材料、動作及び均等物は、その機能を、明確に請求されている他の特許請求された要素との組合せで実施するための、あらゆる構造、材料、又は動作を含むことが意図される。本発明の説明は、例示及び説明を目的として提示されたものであるが、網羅的であることを意図するものでもなく、開示された形態の発明に限定することを意図するものでもない。本発明の範囲及び真意から逸脱することなく、多くの変更及び変形が当業者には明らかであろう。実施形態は、本発明の原理及び実際の用途を最も良く説明するため、及び、当業者が、企図される特定の使用に適した種々の変更を伴う種々の実施形態について本発明を理解することができるように、選択され、説明された。
本明細書において図示された流れ図はほんの一例である。この図又はその中で説明されたステップ(又は操作)には、本発明の趣旨から逸脱することなく、多数の変形が存在し得る。例を挙げれば、ステップは異なる順序で実施することかでき、又はステップを追加、削除、又は修正することができる。このような変形の全ては、特許請求される本発明の一部であると考えられる。
本発明の例示的な実施形態を説明してきたが、現在及び将来の当業者であれば、添付の特許請求の範囲内にある種々の改善及び強化を為すことができることが理解されるであろう。これらの特許請求の範囲は、最初に説明された発明に対する適切な保護を維持するものと解されるべきである。
600:コンピュータ

Claims (12)

  1. ーバ上で論理表現を評価することにより、アクセス制御リストのベース・パーミッションを変更するための方法であって、前記サーバが、
    ブジェクト名をオブジェクトについてのアクセス制御リストエントリに対して比較することによってサブジェクトについてのベース・パーミッションを決定するステップと、
    論理表現エントリを含む前記オブジェクトについての前記アクセス制御リストエントリを決定するステップと、
    前記サブジェクトの論理表現属性を用いて前記オブジェクトについての前記アクセス制御リストエントリの前記論理表現エントリを評価するステップであって、前記論理表現エントリを評価して、前記サブジェクトの前記論理表現属性に関してどの論理表現エントリが真であるかを決定する、前記評価するステップと、
    真である前記論理表現エントリについて、前記論理表現エントリの集合演算子を組み合わせて、単一のユニオン・アクセス制御リストエントリと、単一のインターセクト・アクセス制御リストエントリと、単一のリプレース・アクセス制御リストエントリとを得るステップであって、ユニオン演算型の組み合わせが前記ユニオン・アクセス制御リストエントリを形成し、インターセクト演算型の組み合わせが前記インターセクト・アクセス制御リストエントリを形成し、及び、リプレース演算型の組み合わせが前記リプレース・アクセス制御リストエントリを形成する、前記得るステップと、
    前記サブジェクトについてパーミションを決定する為のインクリメンタル・プロセスの間に、前記リプレース・アクセス制御リストエントリが存在することに応答してリプレース演算を実行し、前記ベース・パーミッションを前記リプレース・アクセス制御リストエントリで置換するステップであって、前記リプレース演算の結果が第1の出力であり、前記リプレース・アクセス制御リストエントリが存在しないことに応答して、前記ベース・パーミッションが前記第1の出力である、前記置換するステップと、
    前記サブジェクトについての前記パーミションを決定する為のインクリメンタル・プロセスの間に、前記ユニオン・アクセス制御リストエントリが存在することに応答して前記第1の出力と前記ユニオン・アクセス制御リストエントリとに対してユニオン演算を実行するステップであって、前記ユニオン演算の結果が第2の出力であり、前記ユニオン・アクセス制御リストエントリが存在しないことに応答して、前記第1の出力が前記第2の出力である、前記ユニオン演算を実行するステップと、
    前記サブジェクトについての前記パーミションを決定する為のインクリメンタル・プロセスの間に、前記インターセクト・アクセス制御リストエントリが存在することに応答して前記第2の出力と前記インターセクト・アクセス制御リストエントリとに対してインターセクト演算を実行するステップであって、前記インターセクト演算の結果が第3の出力であり、前記インターセクト・アクセス制御リストエントリが存在しないことに応答して、前記第2の出力が前記第3の出力である、前記インターセクト演算を実行するステップと、
    前記第3の出力を前記サブジェクトについてのパーミッションとして提供するステップと
    を実行することを含み、前記サブジェクトについての前記パーミションを決定する為の前記インクリメンタル・プロセスを定義するために、前記リプレース演算が第1に実行され、前記ユニオン演算が第2に実行され、及び前記インターセクト演算が第3に実行され、並びに、前記論理表現属性が、IPアドレス、接続タイプ、認証機構、アクセス時刻、アクセス日付、及びアクセス曜日を含む、前記方法。
  2. 前記サブジェクトについてのベース・パーミッションを決定するステップが、サブジェクトにより行われた通信装置からの、前記オブジェクトにアクセスするためのパーミションの要求に応じて行われる、請求項1に記載の方法。
  3. 前記インターセクト演算が前記サブジェクトについての権利の削減をもたらし、
    前記ユニオン演算が前記サブジェクトについての権利の増補をもたらし、
    前記リプレース演算がリプレース・キーワードを利用することに基づいて生じる、
    請求項1又は2に記載の方法。
  4. 前記論理表現属性が、サブジェクト名、グループ名、及び資格証明をさらに含む、請求項1〜3のいずれか一項に記載の方法。
  5. 前記ユニオン・アクセス制御リストエントリが、ユニオン演算子を用いる論理表現エントリの組み合わせである、請求項1〜4のいずれか一項に記載の方法。
  6. 前記ユニオン・アクセス制御リストエントリが、前記オブジェクトについてのパーミッションの組み合わせである、請求項1〜4のいずれか一項に記載の方法。
  7. 前記インターセクト・アクセス制御リストエントリが、インターセクト演算子を用いる論理表現エントリの組み合わせである、請求項1〜6のいずれか一項に記載の方法。
  8. 前記インターセクト・アクセス制御リストエントリが、前記オブジェクトについてのパーミッションの組み合わせである、請求項1〜6のいずれか一項に記載の方法。
  9. 前記リプレース・アクセス制御リストエントリが、リプレース演算子を用いる論理表現エントリの組み合わせである、請求項1〜8のいずれか一項に記載の方法。
  10. 前記リプレース・アクセス制御リストエントリが、前記オブジェクトについてのパーミッションの組み合わせである、請求項1〜8のいずれか一項に記載の方法。
  11. サーバ上で論理表現を評価することにより、アクセス制御リストエントリのベース・パーミッションを変更するように構成された前記サーバであって、
    プログラムを格納するためのメモリと、
    前記メモリと機能的に結合されたプロセッサであって、前記プログラムに含まれるコンピュータ実行可能命令に応答して請求項1〜10のいずれか一項に記載の方法の各ステップを実施する、前記プロセッサと
    を備えている、前記サーバ。
  12. サーバ上で論理表現を評価することにより、アクセス制御リストエントリのベース・パーミッションを変更するためのコンピュータ・プログラムであって、サーバに、請求項1〜10のいずれか一項に記載の方法の各ステップを実行させる、前記コンピュータ・プログラム。
JP2012526006A 2009-08-28 2010-08-18 アクセス制御リストの変更 Expired - Fee Related JP5497178B2 (ja)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
US12/549,955 2009-08-28
US12/549,955 US8250628B2 (en) 2009-08-28 2009-08-28 Dynamic augmentation, reduction, and/or replacement of security information by evaluating logical expressions
PCT/EP2010/062007 WO2011023606A1 (en) 2009-08-28 2010-08-18 Modification of access control lists

Publications (3)

Publication Number Publication Date
JP2013503375A JP2013503375A (ja) 2013-01-31
JP2013503375A5 JP2013503375A5 (ja) 2013-11-28
JP5497178B2 true JP5497178B2 (ja) 2014-05-21

Family

ID=42669472

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2012526006A Expired - Fee Related JP5497178B2 (ja) 2009-08-28 2010-08-18 アクセス制御リストの変更

Country Status (6)

Country Link
US (1) US8250628B2 (ja)
JP (1) JP5497178B2 (ja)
CN (1) CN102473229B (ja)
DE (1) DE112010003464B4 (ja)
GB (1) GB2484243B (ja)
WO (1) WO2011023606A1 (ja)

Families Citing this family (18)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102025603B (zh) * 2009-09-17 2015-01-28 中兴通讯股份有限公司 报文发送控制的方法、系统及注册、更新的方法及系统
US8510801B2 (en) * 2009-10-15 2013-08-13 At&T Intellectual Property I, L.P. Management of access to service in an access point
US8434128B2 (en) * 2010-02-22 2013-04-30 Avaya Inc. Flexible security requirements in an enterprise network
US20110321117A1 (en) * 2010-06-23 2011-12-29 Itt Manufacturing Enterprises, Inc. Policy Creation Using Dynamic Access Controls
JP5567053B2 (ja) * 2012-03-19 2014-08-06 株式会社東芝 権限変更装置、作成装置及びプログラム
US20140082586A1 (en) * 2012-08-09 2014-03-20 FatFractal, Inc. Application development system and method for object models and datagraphs in client-side and server-side applications
US9460300B1 (en) * 2012-09-10 2016-10-04 Google Inc. Utilizing multiple access control objects to manage access control
US9215075B1 (en) 2013-03-15 2015-12-15 Poltorak Technologies Llc System and method for secure relayed communications from an implantable medical device
US9477934B2 (en) * 2013-07-16 2016-10-25 Sap Portals Israel Ltd. Enterprise collaboration content governance framework
CN104145468B (zh) * 2014-01-13 2017-02-22 华为技术有限公司 一种文件访问权限控制方法及装置
US10223363B2 (en) * 2014-10-30 2019-03-05 Microsoft Technology Licensing, Llc Access control based on operation expiry data
WO2016127555A1 (zh) 2015-02-09 2016-08-18 华为技术有限公司 控制应用程序权限的方法及控制器
US10044718B2 (en) * 2015-05-27 2018-08-07 Google Llc Authorization in a distributed system using access control lists and groups
CN107566201B (zh) * 2016-06-30 2020-08-25 华为技术有限公司 报文处理方法及装置
CN108718320B (zh) * 2018-06-14 2021-03-30 浙江远望信息股份有限公司 一种以同类同配置物联网设备合规数据包交集形成数据包通信白名单的方法
CN108881216B (zh) * 2018-06-14 2020-12-22 浙江远望信息股份有限公司 一种以同类同配置物联网设备合规数据包并集形成数据包通信白名单的方法
WO2022170589A1 (zh) * 2021-02-10 2022-08-18 Oppo广东移动通信有限公司 Acl控制方法、装置、设备及存储介质
CN116016387B (zh) * 2023-03-10 2023-06-13 苏州浪潮智能科技有限公司 访问控制列表生效控制方法、装置、设备和存储介质

Family Cites Families (20)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6158010A (en) 1998-10-28 2000-12-05 Crosslogix, Inc. System and method for maintaining security in a distributed computer network
EP1143664A3 (en) 1999-06-10 2003-11-26 Alcatel Internetworking, Inc. Object model for network policy management
US6950819B1 (en) 1999-11-22 2005-09-27 Netscape Communication Corporation Simplified LDAP access control language system
US7185361B1 (en) 2000-01-31 2007-02-27 Secure Computing Corporation System, method and computer program product for authenticating users using a lightweight directory access protocol (LDAP) directory server
US7124132B1 (en) 2000-05-17 2006-10-17 America Online, Inc. Domain specification system for an LDAP ACI entry
US7440962B1 (en) 2001-02-28 2008-10-21 Oracle International Corporation Method and system for management of access information
US7392546B2 (en) 2001-06-11 2008-06-24 Bea Systems, Inc. System and method for server security and entitlement processing
US7356840B1 (en) 2001-06-19 2008-04-08 Microstrategy Incorporated Method and system for implementing security filters for reporting systems
US7167918B2 (en) 2001-10-29 2007-01-23 Sun Microsystems, Inc. Macro-based access control
US7024693B2 (en) 2001-11-13 2006-04-04 Sun Microsystems, Inc. Filter-based attribute value access control
US7284265B2 (en) * 2002-04-23 2007-10-16 International Business Machines Corporation System and method for incremental refresh of a compiled access control table in a content management system
WO2003093964A1 (en) 2002-05-01 2003-11-13 Bea Systems, Inc. Enterprise application platform
US7444668B2 (en) 2003-05-29 2008-10-28 Freescale Semiconductor, Inc. Method and apparatus for determining access permission
US7623518B2 (en) 2004-04-08 2009-11-24 Hewlett-Packard Development Company, L.P. Dynamic access control lists
CN101039213A (zh) * 2006-03-14 2007-09-19 华为技术有限公司 一种通信网络中对用户的接入访问进行控制的方法
US7895639B2 (en) 2006-05-04 2011-02-22 Citrix Online, Llc Methods and systems for specifying and enforcing access control in a distributed system
US20080127354A1 (en) 2006-11-28 2008-05-29 Microsoft Corporation Condition based authorization model for data access
US20090055397A1 (en) 2007-08-21 2009-02-26 International Business Machines Corporation Multi-Dimensional Access Control List
US7934249B2 (en) * 2007-08-27 2011-04-26 Oracle International Corporation Sensitivity-enabled access control model
US20090205018A1 (en) 2008-02-07 2009-08-13 Ferraiolo David F Method and system for the specification and enforcement of arbitrary attribute-based access control policies

Also Published As

Publication number Publication date
CN102473229A (zh) 2012-05-23
US8250628B2 (en) 2012-08-21
US20110055902A1 (en) 2011-03-03
DE112010003464T5 (de) 2012-06-14
CN102473229B (zh) 2015-04-01
GB2484243A (en) 2012-04-04
GB2484243B (en) 2015-09-30
JP2013503375A (ja) 2013-01-31
WO2011023606A1 (en) 2011-03-03
GB201201636D0 (en) 2012-03-14
DE112010003464B4 (de) 2019-05-16

Similar Documents

Publication Publication Date Title
JP5497178B2 (ja) アクセス制御リストの変更
US11658971B1 (en) Virtual firewalls for multi-tenant distributed services
EP4167116A1 (en) Generating zero-trust policy for application access using machine learning
US10911428B1 (en) Use of metadata for computing resource access
US9860346B2 (en) Dynamic application programming interface builder
US10402585B2 (en) Management of privacy policies
CN101091369B (zh) 用于控制个人数据的装置和方法
US8554837B2 (en) Automatic moderation of media content by a first content provider based on detected moderation by a second content provider
US20130019282A1 (en) Service Mediation Framework
US20090287705A1 (en) Managing website blacklists
US10148637B2 (en) Secure authentication to provide mobile access to shared network resources
US20090254561A1 (en) Method for Accessing User Data and Profile Management Server
US10348816B2 (en) Dynamic proxy server
US10616281B1 (en) Service-level authorization policy management
EP3123696B1 (en) Serving approved resources
US10237303B2 (en) Prevalence-based reputations
US11171924B2 (en) Customized web services gateway
US7774483B1 (en) Supporting a community of subscribers in an environment using a service selection gateway (SSG)
US12079373B2 (en) Trusted system for sharing user data with internet content providers
US12126628B2 (en) Adaptive authorization with local route identifier
CN119720172B (zh) 安全认证方法、装置、电子设备、介质及程序产品
CN121530774A (zh) 消息处理系统的访问控制方法、系统、设备、介质及产品
CN114301686A (zh) 一种安全策略的匹配方法及装置、存储介质
Niven-Jenkins et al. RFC 8006: Content Delivery Network Interconnection (CDNI) Metadata

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20130501

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20130815

Free format text: JAPANESE INTERMEDIATE CODE: A821

Effective date: 20130815

A871 Explanation of circumstances concerning accelerated examination

Free format text: JAPANESE INTERMEDIATE CODE: A871

Effective date: 20130815

RD12 Notification of acceptance of power of sub attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7432

Effective date: 20130815

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A821

Effective date: 20130816

A975 Report on accelerated examination

Free format text: JAPANESE INTERMEDIATE CODE: A971005

Effective date: 20130822

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20131003

Free format text: JAPANESE INTERMEDIATE CODE: A821

Effective date: 20131003

A871 Explanation of circumstances concerning accelerated examination

Free format text: JAPANESE INTERMEDIATE CODE: A871

Effective date: 20131003

A975 Report on accelerated examination

Free format text: JAPANESE INTERMEDIATE CODE: A971005

Effective date: 20131009

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20140109

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A821

Effective date: 20140120

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20140120

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20140219

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A821

Effective date: 20140219

RD14 Notification of resignation of power of sub attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7434

Effective date: 20140219

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20140305

R150 Certificate of patent or registration of utility model

Ref document number: 5497178

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

LAPS Cancellation because of no payment of annual fees