JPH11313102A - アクセス制御リスト生成方法及びその装置 - Google Patents

アクセス制御リスト生成方法及びその装置

Info

Publication number
JPH11313102A
JPH11313102A JP10050838A JP5083898A JPH11313102A JP H11313102 A JPH11313102 A JP H11313102A JP 10050838 A JP10050838 A JP 10050838A JP 5083898 A JP5083898 A JP 5083898A JP H11313102 A JPH11313102 A JP H11313102A
Authority
JP
Japan
Prior art keywords
access
information
access control
subject
target
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP10050838A
Other languages
English (en)
Inventor
Hitoshi Ueno
仁 上野
Kenichi Fukuda
健一 福田
Takafumi Nakajo
孝文 中条
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Fujitsu Ltd
Original Assignee
Fujitsu Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Fujitsu Ltd filed Critical Fujitsu Ltd
Priority to JP10050838A priority Critical patent/JPH11313102A/ja
Priority to US09/218,251 priority patent/US6237036B1/en
Publication of JPH11313102A publication Critical patent/JPH11313102A/ja
Pending legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/101Access control lists [ACL]

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Computer Security & Cryptography (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Storage Device Security (AREA)

Abstract

(57)【要約】 【課題】 アクセス制御リスト生成方法及びその装置に
関し、アクセス制御ルールの作成/変更が容易となるこ
とを課題とする。 【解決手段】 アクセス制御ルールの入力からアクセス
制御リストを生成する方法において、アクセス主体と主
体種別の関係を規定した主体種別グループ情報と、アク
セス対象と対象種別の関係を規定した対象種別グループ
情報と、前記主体,対象が所属するシステムの組織構造
を規定した組織構造情報とを備え、アクセス制御ルール
と、組織構造に基づく制約条件とを入力し、アクセス制
御ルールの主体種別,対象種別の情報に基づきグループ
情報より対応する主体,対象の情報を抽出し、該抽出し
た主体,対象の情報に基づき組織構造情報より当該主
体,対象が所属する組織のロケーション情報を抽出し、
該抽出したロケーション情報の全組について制約条件
(満足か否か)を判定し、該制約条件を満足する組のア
クセス制御リストのみを生成する。

Description

【発明の詳細な説明】
【0001】
【発明の属する技術分野】本発明はアクセス制御リスト
生成方法及びその装置に関し、更に詳しくはオペレーシ
ョンシステムのセキュリティー確保を目的とするアクセ
ス制御ルール(Access Control Rule) の入力からシステ
ムで実行可能なアクセス制御リスト(Access Control Li
st) を生成するアクセス制御リスト生成方法及びその装
置に関する。
【0002】近年、情報通信サービスの多様化及び競争
激化により、顧客の満足度につながるオペレーションサ
ービスの拡充が重要になっている。顧客の要求に素早く
的確に応えるためには、オペレーションの対象をネット
ワークエレメントやネットワークだけではなく、サービ
ス提供システムを構成する各装置の情報に対するアクセ
スを顧客やオペレータに提供する等のサービスにまで広
げてオペレーションシステムのネットワーキングを進め
る必要があり、これに伴いオペレータの業務は多様化
し、NMS(Network Management System) ネットワーク
は大規模化/複雑化している。
【0003】このようにオペレータとNMSの関係が複
雑化すると、その関係管理が重要となる。一つはオペレ
ーションにおけるセキュリティーの確保であり、どのオ
ペレータが、どのネットワーク資源又はNMSに対し
て、どのようなオペレーションを実行することを許する
か、と言ったアクセス制御によるセキュリティーの確保
が重要となる。そして、このアクセス制御はネットワー
クの拡大や、NMSの追加変更、組織の改編に柔軟に対
応できるものであることが望ましい。
【0004】
【従来の技術】図17〜図19は従来技術を説明する図
(1)〜(3)である。図17はNMSネットワークと
オペレータ業務との関係を示している。NMSネットワ
ークではネットワークオペレーションを担うセクション
が複数レベル存在している。最上位のネットワーク管理
センタには全国規模のネットワークオペレーションを管
轄するネットワーク管理担当、NMS管理担当、システ
ム管理担当等の各オペレータが配備され、その下部のサ
ブネットワーク管理センタ(SNMC)には地方/県規
模のネットワークオペレーションを管轄するサブネット
ワーク管理担当、NMS管理担当、お客様対応担当等の
各オペレータが配備され、最下層の地域ネットワーク
(交換機局)にはシステム導入/保守担当等の各オペレ
ータが配備される。このようなNMSのネットワーキン
グによってオペレータは様々なNMSやネットワーク資
源へのアクセスが可能となる。
【0005】一方、NMSのネットワーキングによって
オペレータ業務が多様化するために、オペレータとNM
S/ネットワーク資源との間の関係管理が重要となる。
その一つはオペレータ業務権限の管理である。一般にオ
ペレータの業務権限には、 (1)担当名で決定されるもの(サービス監視担当,全
国NMS管理担当等) (2)組織構造を考慮して決定されるもの(管轄区域内
のネットワークエレメント監視担当,オフィス内NMS
管理担当等) (3)管理対象の属性(プロパティー)により決定され
るもの(管轄区域にまたがるパスの管理担当等)が存在
する。
【0006】このような権限とNMS/ネットワーク資
源との間の関係管理は、従来よりオペレーションシステ
ムで実行可能なアクセス制御によって取り扱うことが可
能であるが、その元となるアクセス制御ルールの保守運
用性、分散システム上でのアクセス制御の実行性能、オ
ペレータの操作への影響等が課題となっている。図18
(A)にアクセス制御ルールの元となるアクセス制御方
針(セキュリティ−方針)の例を示す。
【0007】図は担当と、その担当が行う業務(アクセ
ス内容)との関係を表に表しており、ここで、Aは許
可、Nは非許可を夫々表す。またCnはアクセス制御ル
ールに付加された制約条件であり、例えば、C1は管理
対象(Managed Object)が管轄区域内にある場合だけ許
可、C2は管理対象が管轄区域内にあるか又は自区域と
他区域にまたがっている場合だけ許可、を夫々表す。
【0008】このアクセス制御方針によれば、システム
管理担当は全ての管理対象をアクセスできる。また区域
内NW管理担当はNMS−NW制御(NMS関連のネッ
トワーク制御)を行えないが、管轄区域内のNW制御及
び自区域と他区域にまたがるNW制御を行える。また区
域内NMS管理担当はNW制御及びNW監視を行えない
が、管轄区域内のNMS−NW制御及び自区域と他区域
にまたがるNMS−NW制御を行える。そして、お客様
窓口担当は専らお客様へのサービス監視のみ行える。
【0009】このようなアクセス制御方針は、人手を介
してシステムにより解釈可能なアクセス制御ルールの記
述情報に変換され、システムに入力される。この場合
に、従来は、分散管理システムにおけるマネージャと管
理対象との間の関係管理をねらいとして、所謂管理ポリ
シーなる技術が提案されている(M.Sloman, "Policy Dr
iven Management for Distributed Systems", Journal
of Network and Systems Management,Volmen 2,pp.333-
360,1994)。
【0010】管理ポリシーには、メッセージ授受の許可
に関する許可(authorization) ポリシーと、メッセージ
授受の義務に関する義務(obligation)ポリシーとの2種
類があるが、ここではアクセス制御に直接関係する許可
ポリシーに着目する。許可ポリシーでは、マネージャオ
ブジェクトのグループ(マネージャドメイン)と、管理
対象オブジェクトのグループ(対象ドメイン)と、両ド
メイン間で授受されるオペレーションメッセージ群と、
メッセージ授受に際しての制約条件等とを記述できる。
以下に、許可ポリシーのシンタックスを示す。 [”A+”|”A−”]Manager ”{”Action”}”Ta
rget when Condition ここで、A+は許可ポリシー、A−はネガティブの許可
ポリシー、Manager ,Target はドメイン名、Actionはメ
ッセージ名、Condition は制約条件に関する記述であ
る。
【0011】以下に、許可ポリシー(アクセス制御ルー
ル)の記述例を示す。 A+ John{subscribe }bridge - failure - event これは、Johnはブリッジ装置の障害イベントを取得でき
ると言う許可ポリシー(A+)を表す。 A− Students{reboot}teaching - workstations これは、学生(Students)は教材として提供されている
ワークステージョン(teaching- workstations)を再起
動(reboot)できないと言うネガティブの許可ポリシー
(A−)を表す。
【0012】 これは、マネージャxは、マネージャxの位置(locati
on)が企画室である時のみ、研究計画を読み出すことが
できると言う制約条件付きの許可ポリシー(A+)を表
す。
【0013】このように従来の管理ポリシーによるアク
セス制御ルールでは、制約条件(C:Condition) を記述
することは許されているが、一般に制約条件の機械によ
る解釈は複雑・困難であるため、システムで実行可能な
アクセス制御リスト(ACL)を生成するインタプリタ
はアクセス制御ルールに付加された制約条件Cの部分を
実際に翻訳(変換)する訳ではない。即ち、この場合の
制約条件Cはアクセス制御ルールに付加記述することを
許されているに過ぎない。
【0014】図18(B)はNMSネットワークシステ
ムの一例の組織構造を示している。図において、例えば
アクセス主体(山田)2は支社1に所属し、その担当は
伝送路オペレータである。またアクセス対象1は支社1
の管轄に帰属し、その対象(サービス)種別はサービス
管理装置である。またアクセス主体3(下田)は支社2
に所属し、その担当は伝送路オペレータである。そして
アクセス対象2は支社2の管轄に帰属し、その対象種別
はサービス管理装置である。
【0015】このNMSネットワークシステムに対する
アクセス制御方針は、例えば支社1に所属する主体2に
対しては支社1に帰属する対象1のアクセスを許可し、
一方、支社2に所属する主体3に対しては支社2に帰属
する対象2のアクセスを許可する、である。そこで、こ
のアクセス制御方針を管理ポリシーで記述することにな
るが、従来の管理ポリシーによると、人が一々図18
(B)の組織構造図を参照して、 主体2 A+ 対象1 主体3 A+ 対象2 等の如く、具体的な主体(名前)毎及び対象(装置)毎
に夫々のアクションAを規定した沢山のアクセス制御ル
ールを記述する必要があった。
【0016】また従来は、管理ポリシーの記述に際して
ロールという概念を利用することが知られている(E.Lu
pu, D.Marriott, M.Sloman, N.Yialelis, "A Policy Ba
sedRole Framework for Access Control", First ACM/N
IST Role Based Access Control Workshop, December 1
995) 。ロールとは、組織内のポジションに関して義務
と権利をモデル化するものであり、ロール(担当名)と
言う単位でアクセス主体をグループ化することにより、
アクセス制御ルール記述の容易化を狙ったものである。
以下にロールの概念を用いたアクセス制御について具体
的に説明する。
【0017】図19はロールを用いたアクセス制御につ
いて示している。今、主体2がシステムに対して対象1
にアクションA1を送ったとする。この場合に、アクセ
ス制御実行部62は、ロールテーブルから主体2が伝送
路オペレータであること、及び対象テーブルから対象1
がサービス管理装置であることの各情報を得ると共に、
アクセス制御ルールテーブルに、 <伝送路オペレータ,A1,サービス管理装置>と言う
アクセス制御ルールが有るか否かにより、アクセス制御
を行う。
【0018】従って、この場合のルール作成者は、例え
ば以下のようなアクセス制御ルールを記述可能となる。 <伝送路オペレータ,A1,サービス管理装置> <交換機オペレータ,A2,トラフィック管理装置> このように、ロールを使えば、ルール作成者は個々の主
体毎及び対象毎に夫々のアクションを規定した沢山のア
クセス制御ルールを記述する必要がないので、アクセス
制御ルールの作成負担が軽減され得る。
【0019】また、この場合もルール作成者は制約条件
を記述することは可能であるが、この制約条件をアクセ
ス制御ルールから直接解釈する技術は未だ無く、従っ
て、制約条件として例えば、 <伝送路オペレータ,A1,サービス管理装置,主体の
所属する組織=対象を管理する組織> を記述したいような場合でも、これは叶わず、結局人が
制約条件を解釈して、 <組織1の伝送路オペレータ,A1,組織1のサービス
管理装置> <組織2の伝送路オペレータ,A1,組織2のサービス
管理装置> の如く、アクセス制御ルールの記述を組織の数だけ繰り
返し、沢山のアクセス制御ルールを記述する必要があっ
た。
【0020】ところで、上記従来のロールの概念を利用
することで、入力のアクセス制御ルールからシステムで
実行可能なアクセス制御リストに変換することが考えら
れる。なお、以下に述べる部分は従来技術(公知)では
無いが、ロール技術の適用範囲を理解する上で意義があ
る。図20はロールを用いた場合のアクセス制御リスト
の一例の生成方法を説明する図である。
【0021】システムには、アクセス主体種別(ロー
ル)と該ロールに属する個々のアクセス主体(担当者
名)とを関係付けたロールテーブル72なるものと、ア
クセス対象種別と該種別に属する個々のアクセス対象
(対象機名)とを関係付けた対象テーブル73なるもの
とが予め用意される。また、この場合のアクセス制御ル
ールは管理ポリシー<M,A,T,C>に従って記述さ
れる。
【0022】従って、ルール作成者は、上記図18
(B)の組織構造に従い、例えば以下の様なアクセス制
御ルールを作成可能である。 <伝送路オペレータ,A1,サービス管理装置,C1> <交換機オペレータ,A2,トラフィック管理装置,C
2> アクセス制御リスト(ACL)生成部71は、アクセス
制御ルールの入力に基づきロールテーブル72及び対象
テーブル73を参照して、アクセス主体Mと、アクショ
ンAと、アクセス対象Tとの3項組<M,A,T>から
なるアクセス制御リスト(ACL)を生成する。
【0023】ここで、アクセス制御リスト(ACL:Ac
cess Contorol List)とは、システムのアクセス制御実
行部に入力される情報であり、「どの<アクセス主体>
に対し、かつどの<アクセス対象>に対して、どのよう
な<メソッド/コマンド>を認める」旨を、<>の3項
組によって表したものである。しかし、この場合もアク
セス制御ルールに付加された制約条件C1,C2等につ
いては、その記述が許されるのみであり、アクセス制御
リストの生成には何ら利用されない。その結果、この例
では、例えば、 <伝送路オペレータ,A1,サービス管理装置,C1> のアクセス制御ルールより、 <伝送路オペレータ(主体2,主体3),A1,サービ
ス管理装置(対象1,対象2)> の関係が発生し、以下の4つのアクセス制御リストが生
成される。
【0024】<主体2,A1,対象1> <主体2,A1,対象2> <主体3,A1,対象1> <主体3,A1,対象2> しかるに、上記,はシステムのアクセス制御方針に
沿うが、システムのアクセス制御方針に沿わない所の上
記,まで同時に生成されてしまうと言う不都合があ
る。即ち、上記によると支社1の主体2は支社2の対
象2をアクセスでき、また上記によると支社2の主体
3は支社1の対象1をアクセスできることになってしま
う。
【0025】
【発明が解決しようとする課題】上記の如く、従来の管
理ポリシー技術/ロール技術では、アクセス制御ルール
に制約条件を記述できても、該制約条件はアクセス制御
リスト生成部/アクセス制御実行部では何ら翻訳(利
用)されないため、ルール作成者は具体的な主体や対象
名、又は組織名を含めて夫々のアクションを規定した沢
山のアクセス制御ルールを記述する必要があった。
【0026】また、上記ロールの概念を利用してアクセ
ス制御ルールからアクセス制御リストに変換することを
試みたとしても、アクセス制御ルールに付加された制約
条件はアクセス制御リストへの翻訳の際には何ら利用さ
れないため、最終的にはシステムのアクセス制御方針に
沿わないようなアクセス制御リストが生成されてしまう
と言う不都合があった。因みに、これらシステムのアク
セス制御方針に沿わないアクセス制御リストを削除する
には多大の労力を要してしまう。
【0027】また、ネットワークの拡大や、アクセス主
体の所属する組織/実行権限の変更や、アクセス対象を
管理する組織の変更等、オペレーションシステムの構成
/セキュリティー方針に変更が発生したような場合に
は、アクセス主体が所属する組織とアクセス対象を管理
する組織との間にある様々な制約を考慮してアクセス制
御ルールの再入力が必要となるが、上記従来方式による
と、ルール作成者はアクセス制御ルールと組織構造によ
る制約条件とを同時に考慮する必要があるため、変更点
の把握が非常に困難であるばかりか、アクセス制御ルー
ルの入力量(手間)が大きくなると言う問題もあった。
【0028】本発明は上記従来技術の欠点に鑑み成され
たものであって、その目的とする所は、アクセス制御ル
ールの作成/変更が容易となるようなアクセス制御リス
ト生成方法及びその装置を提供することにある。
【0029】
【課題を解決するための手段】上記の課題は例えば図1
の構成により解決される。即ち、本発明(1)のアクセ
ス制御リスト生成方法は、オペレーションシステムのセ
キュリティー確保を目的とするアクセス制御ルールの入
力からシステムで実行可能なアクセス制御リストを生成
するアクセス制御リスト生成方法において、(a)シス
テムのアクセス主体(主体1〜主体4)とアクセス主体
種別(伝送路オペレータ,交換機オペレータ)との関係
を規定したアクセス主体種別グループ情報と、システム
のアクセス対象(対象1〜対象3)とアクセス対象種別
(サービス管理装置,トラフィック管理装置)との関係
を規定したアクセス対象種別グループ情報と、前記アク
セス主体及び対象が所属,帰属するシステムの組織構造
を規定した組織構造情報とをメモリに入力するステップ
と、(b)システムのセキュリティー方針をアクセス主
体種別情報(伝送路オペレータ,交換機オペレータ)M
とアクセス対象種別情報(サービス管理装置,トラフィ
ック管理装置)Tとアクセス内容(get,set 等) Aとの
3項組からなるアクセス制御ルールによりメモリに入力
するステップと、(c)システムの組織構造に基づく制
約条件の情報をメモリに入力するステップと、(d)前
記アクセス制御ルールのアクセス主体種別(伝送路オペ
レータ/交換機オペレータ)及び対象種別(サービス管
理装置/トラフィック管理装置)の各情報に基づき前記
アクセス主体種別及び対象種別の各グループ情報より当
該種別に属するアクセス主体(主体2,主体3/主体
4)及び対象(対象1,対象2/対象3)の各情報を抽
出するステップと、(e)前記抽出したアクセス主体及
び対象の各情報に基づき前記組織構造情報より当該アク
セス主体及び対象が所属,帰属する組織の第1,第2の
ロケーション情報(「支社1,支社2/支社1の営業
所」、「支社1,支社2/支社1の営業所」)を抽出す
るステップと、(f)前記抽出した第1,第2のロケー
ション情報の全ての組について前記制約条件を判定する
ステップと、(g)前記制約条件を満足する組のアクセ
ス主体情報とアクセス対象情報と前記アクセス制御ルー
ルのアクセス内容との3項組からなるアクセス制御リス
トを生成するステップとを備えるものである。
【0030】図において、システムの組織構造情報は、
図示の如く本社から支社1,支社2,営業所等に至るN
MSの階層的な組織構造が木構造方式のプログラムリス
トにより定義される。またここには、アクセス主体1は
本社に、アクセス主体2は支社1に、アクセス主体3は
支社2に、アクセス主体4は支社1の営業所に夫々所属
し、またアクセス対象1は支社1に、アクセス対象2は
支社2に、アクセス対象3は支社1の営業所に夫々帰属
する(管轄下にある)等の如く、アクセス主体及びアク
セス対象が夫々に所属,帰属するロケーションの情報が
含まれる。
【0031】また、制約条件Cとしてはアクセス主体及
びアクセス対象が夫々に所属,帰属する各ロケーション
の関係を様々に規定できる。例えばアクセス主体の所属
ロケーション(支社1)がアクセス対象の帰属ロケーシ
ョン(支社1)と等しい場合、又はアクセス対象の帰属
ロケーション(支社1の営業所)がその上位組織のアク
セス主体の所属ロケーション(支社1)に含まれる場
合、等である。
【0032】以下に、上記ステップ(b)では<伝送路
オペレータはサービス管理装置をアクセスできる>の旨
のアクセス制御ルールがメモリに入力され、かつステッ
プ(c)では<アクセス主体の所属ロケーションがアク
セス対象の帰属ロケーションと等しい場合>の旨の制約
条件がメモリに入力された場合の処理を具体的に説明す
る。
【0033】ステップ(d)では、アクセス制御ルール
のアクセス主体種別(伝送路オペレータ)及び対象種別
(サービス管理装置)の各情報に基づき前記アクセス主
体種別及び対象種別の各グループ情報より当該種別に属
するアクセス主体(主体2,主体3)及び対象(対象
1,対象2)の各情報を抽出する。ステップ(e)で
は、前記抽出したアクセス主体及び対象の各情報に基づ
き前記組織構造情報より当該アクセス主体及び対象が所
属,帰属する組織の第1,第2のロケーション情報
(「支社1,支社2」、「支社1,支社2」)を抽出す
る。
【0034】ステップ(f)では、前記抽出した第1,
第2のロケーション情報の全ての組について前記制約条
件を判定する。まず、この組合せには以下の4つが存在
する。 支社1(主体2)と支社1(対象1) 支社1(主体2)と支社2(対象2) 支社2(主体3)と支社1(対象1) 支社2(主体3)と支社2(対象2) また上記入力の制約条件は、 <アクセス主体の所属ロケーション=アクセス対象の帰
属ロケーション> であるから、上記制約条件を満足する組は以下の2つと
なる。
【0035】支社1(主体2)と支社1(対象1) 支社2(主体3)と支社2(対象2) ステップ(g)では、前記制約条件を満足する組のアク
セス主体情報とアクセス対象情報と前記アクセス制御ル
ールのアクセス内容との3項組からなるアクセス制御リ
ストを生成する。即ち、この場合は以下の2つが生成さ
れる。
【0036】<主体2,A+,対象1> <主体3,A+,対象2> なお、上記制約条件は各アクセス制御ルールに付加して
入力するようにしても良いが、本発明(1)のように制
約条件をアクセス制御ルールとは別個に入力することに
より、一つの制約条件を複数のアクセス制御ルールの入
力に対して共通に使用することが可能となる。
【0037】かくして、本発明(1)によれば、システ
ムの組織構造情報と該組織構造に基づく制約条件の情報
とをシステムに取り入れ、かつこれらの関係をシステム
の側で処理する構成により、入力のアクセス制御ルール
から出力のアクセス制御リストを生成するに際しては、
入力の制約条件がコンピュータにより自動的に解釈され
て該制約条件を満足するアクセス制御リストのみが自動
生成されるので、ルール作成者によるアクセス制御ルー
ルの作成(入力)負担が大幅に軽減される。
【0038】また、NMSの組織構造に変更が発生した
ような場合には、アクセス制御ルールを再作成しなくて
も、組織構造情報のみを変更すれば、アクセス制御リス
トの変更(再生成)が容易に行える。また、NMSのセ
キュリティー方針に変更が発生したような場合には、ア
クセス制御ルールを再作成しなくても、制約条件の情報
のみを変更すれば、アクセス制御リストの変更(再生
成)が容易に行える。
【0039】また上記の課題は例えば図1の構成により
解決される。即ち、本発明(2)のアクセス制御リスト
生成装置は、オペレーションシステムのセキュリティー
確保を目的とするアクセス制御ルールの入力からシステ
ムで実行可能なアクセス制御リストを生成するアクセス
制御リスト生成装置において、システムのアクセス主体
とアクセス主体種別との関係を規定したアクセス主体種
別グループ情報と、システムのアクセス対象とアクセス
対象種別との関係を規定したアクセス対象種別グループ
情報と、前記アクセス主体及び対象が所属,帰属するシ
ステムの組織構造を規定した組織構造情報とからなるグ
ループ情報をメモリに入力するグループ情報入力部10
と、システムのセキュリティー方針をアクセス主体種別
情報とアクセス対象種別情報とアクセス内容との3項組
からなるアクセス制御ルールによりメモリに入力するア
クセス制御ルール入力部20と、システムの組織構造に
基づく制約条件の情報をメモリに入力する制約条件入力
部30と、前記アクセス制御ルールに基づき前記アクセ
ス主体種別及び対象種別の各グループ情報より対応する
アクセス主体及び対象の各情報を抽出すると共に、これ
らの全ての組合せにつき前記組織構造情報を参照して前
記制約条件の判定を行い、該判定を満足する組のアクセ
ス主体情報とアクセス対象情報とアクセス内容との3項
組からなるアクセス制御リストを生成するアクセス制御
リスト生成部40とを備えるものである。
【0040】従って、アクセス制御ルールの作成/変更
が容易となるようなアクセス制御リスト生成装置50を
提供できる。好ましくは、本発明(3)においては、上
記本発明(2)において、例えば図5に示す如く、アク
セス制御リスト生成部40は、アクセス制御ルールのア
クセス主体種別及び対象種別の各情報に基づきアクセス
主体種別及び対象種別の各グループ情報から当該種別に
夫々属するアクセス主体及び対象の各情報を抽出して制
約条件判定部42に制約条件の判定を依頼すると共に、
該制約条件を満足した組のアクセス主体情報とアクセス
対象情報とアクセス内容との3項組からなるアクセス制
御リストを生成するアクセス制御リスト変換部41と、
前記抽出されたアクセス主体及び対象の各情報に基づき
組織構造情報より夫々が所属,帰属する組織の各ロケー
ション情報を抽出すると共に、これらの全ての組合せの
内の制約条件を満足する組を抽出してアクセス制御リス
ト変換部41に通知する制約条件判定部42とを備え
る。
【0041】本発明(3)によれば、例えば既存(従
来)のアクセス制御リスト(ACL)生成装置に対し
て、新たに組織構造情報のグループ情報入力部20と、
制約条件入力部30と、制約条件判定部42とを付加す
ると共に、既存のアクセス制御リスト変換部に対しては
制約条件判定部42とデータをやり取りするための僅か
なインタフェース処理を加えるだけで、アクセス制御ル
ールの作成/変更が容易となるようなアクセス制御リス
ト生成装置50を提供できる。
【0042】また好ましくは、本発明(4)において
は、上記本発明(2),(3)において、例えば図8に
示す如く、予め複数種の制約条件の情報を記憶しておく
制約条件記憶部43を更に備え、またアクセス制御ルー
ル入力部10はアクセス制御ルールと共に前記制約条件
の情報を指定可能とし、かつ制約条件の判定時には、前
記指定された制約条件の情報に従って制約条件を判定す
るものである。
【0043】本発明(4)によれば、予め複数種の制約
条件#0,#1,…,等を記憶しておくと共に、入力の
アクセス制御ルール毎に<M1,A1,T1,C#0
>、<M2,A2,T2,C#1>等の如く制約条件を
指定(選択)可能となるため、複雑なセキュリティー方
針に対しても容易に対処できる。また好ましくは、本発
明(5)においては、上記本発明(2)〜(4)におい
て、例えば図11に示す如く、予め複数種の組織構造情
報を記憶しておく組織構造情報記憶部44を更に備え、
またアクセス制御ルール入力部10はアクセス制御ルー
ルと共に前記組織構造情報を指定可能とし、かつ制約条
件の判定時には、前記指定された組織構造情報に従って
制約条件を判定するものである。
【0044】本発明(5)によれば、予め複数種の組織
構造情報#0,#1,…,等を記憶しておくと共に、入
力のアクセス制御ルール毎に<M1,A1,T1,K#
0>、<M2,A2,T2,K#1>等の如く組織構造
情報を指定(選択)可能となるため、複雑な組織構造に
対しても容易に対処できる。更には、例えば図14に示
す如く、上記本発明(4)との結合により、複雑なセキ
ュリティー方針及び組織構造に対しても容易に対処でき
る。
【0045】また好ましくは、本発明(6)において
は、上記本発明(2)〜(5)において、例えば図15
に示す如く、アクセス制御リストの形式変換ルールをメ
モリに入力する変換ルール入力部46と、アクセス制御
リスト生成部41により生成されたアクセス制御リスト
の形式をメモリの前記形式変換ルールに従って形式変換
する形式変換部47とを更に備える。
【0046】本発明(6)によれば、アクセス制御リス
トの解釈実行に関して異なる形式を要求するような分散
システムの様々なアクセス制御実行部に対して、夫々が
解釈実行できる形式のアクセス制御リストを容易に提供
できる。なお、図示しないが、予め複数種の形式変換ル
ールを記憶しておく形式変換ルール記憶部を更に備え、
またアクセス制御ルール入力部10よりアクセス制御ル
ールと共に、又は外部より形式変換ルールを指定可能と
し、かつアクセス制御リストの生成時には、前記指定さ
れた形式変換ルールに従ってアクセス制御リスト変換部
41の出力の各アクセス制御リストの形式変換を行うよ
うに構成しても良い。
【0047】
【発明の実施の形態】以下、添付図面に従って本発明に
好適なる複数の実施の形態を詳細に説明する。なお、全
図を通して同一符号は同一又は相当部分を示すものとす
る。図2は実施の形態によるアクセス制御管理システム
の一部構成を示す図で、図において、50は実施の形態
によるアクセス制御リスト(ACL)生成装置、51は
アクセス制御リストの生成及び分散システムへの配信に
係る各種情報を表示するための表示部(DSP)、52
はACL生成装置の主制御及び処理(ACL生成処理
等)を行うCPU、53はCPU52が実行するための
各種プログラム(図4,図6,図7等)及びCPU52
が処理する各種データ(アクセス主体/対象別グループ
情報,組織構造情報,アクセス制御ルール,制約条件
等)を記憶するためのRAM,ROM,EEPROM等
からなる主メモリ(MEM)、54は上記各種データや
制御コマンド等を入力するためのキーボード部(KB
D)、55はフロッピーディスク及びハードディスク等
からなるディスク装置(DSK)、56は分散システム
にアクセス制御リストを配信するための通信制御部(C
IF)、57はCPU51の共通バスである。
【0048】なお、キーボード部54は、図示しない
が、マウス等のポインティングデバイスを備える。また
グループ情報,アクセス制御ルール,制約条件等の各種
データはキーボード部54から直接に入力しても良い
が、通常は、予めディスク装置55に格納しておいたフ
ァイルからメモリ53に読み出される。このNMSの組
織構造は上記図1に示したものと同様で良い。ACL生
成装置50は例えば本社組織に置かれる。支社1,支社
2及び支社1の営業所では各レベルのネットワークオペ
レーション(伝送/交換サービス等)を行っており、こ
こで支社1,支社2の主体2,主体3は夫々にサービス
管理の担当、支社1の営業所の主体4はトラフィック管
理の担当である。各担当(マネージャ)にはシステムの
セキュリティー方針に基づく各権限が与えられており、
各権限に基づいて夫々の管理対象(サービス管理装置6
3,トラフィック管理装置64)をアクセス可能であ
る。
【0049】アクセス制御実行部62は、アクセス主体
(ワークステーション61)とアクセス対象(サービス
管理装置63,トラフィック管理装置64)との間に介
在しており、予めACL生成装置50によりシステムの
セキュリティー方針に従って生成され、かつ配信された
夫々のアクセス制御リストACLに従って分散システム
における実際のアクセス制御管理を行う。
【0050】具体的に言うと、例えば支社1のアクセス
主体(山田)2はワークステション611 に対するログ
イン時に自分の氏名「山田一郎」を入力する。アクセス
制御実行部621 は、予め又はこの時点でACL生成装
置50により生成され、配信されたアクセス制御リスト
<M(山田),A,T(サービス管理装置631 )>に
従って、その後にアクセス主体2(ワークステーション
611 )が発生する所の各種メッセージにつき許容/非
許容のアクセス制御管理を行う。
【0051】図3は第1の実施の形態によるACL生成
装置の機能ブロック図で、ACL生成部40が、入力の
アクセス制御ルールから出力のアクセス制御リストへの
変換と、入力の制約条件の判定とを行う場合を示してい
る。図において、50はACL生成装置、10はアクセ
ス制御ルール入力部、20はグループ情報入力部、30
は制約条件入力部、40はアクセス制御リスト(AC
L)生成部である。
【0052】グループ情報入力部20は、システムのア
クセス主体とアクセス主体種別との関係を規定したアク
セス主体種別グループ情報と、システムのアクセス対象
とアクセス対象種別との関係を規定したアクセス対象種
別グループ情報と、前記アクセス主体及び対象が所属,
帰属するシステムの組織構造を規定した組織構造情報と
からなるグループ情報をメモリ53に入力する。
【0053】以下に、アクセス主体種別グループ情報の
一例の記憶構造を示す。 アクセス主体種別グループ情報:<伝送路オペレータ,
交換機オペレータ> 伝送路オペレータ:<主体2,主体3> 交換機オペレータ:<主体4> 次にアクセス対象種別グループ情報の一例の記憶構造を
示す。
【0054】アクセス対象種別グループ情報:<サービ
ス管理装置,トラフィック管理装置> サービス管理装置:<対象1,対象2> トラフィック管理装置:<対象3> 次にシステムの組織構造情報の一例の記憶構造を示す。
【0055】本社:<支社1,支社2> →本社の下に
支社1,支社2が存在する。 支社1:<営業所> →支社1の下に営業所が存在す
る。 支社1:<主体2,対象1> →支社1に主体2,対象
1が所属,帰属する。 支社2:<主体3,対象2> 営業所:<主体4,対象3> このようなグループ情報はアクセスルール作成者のシス
テムに対する認識を簡潔にモデル化したデータ定義と言
える。
【0056】アクセス制御ルール入力部10は、システ
ムのセキュリティー方針をアクセス主体種別情報(M)
とアクセス対象種別情報(T)とアクセス内容(A)と
の3項組からなるアクセス制御ルールによりメモリに入
力する。例えば、 <伝送路オペレータ,A,サービス管理装置> を入力する。
【0057】制約条件入力部30は、システムの組織構
造に基づく制約条件の情報をメモリに入力する。例え
ば、 <アクセス主体の所属ロケーション=アクセス対象の帰
属ロケーション> を入力する。そして、ACL生成部40は、メモリのア
クセス制御ルールに基づきアクセス主体種別及び対象種
別の各グループ情報より対応するアクセス主体及び対象
の各情報を抽出すると共に、これらの全ての組合せにつ
きメモリの組織構造情報を参照して前記制約条件の判定
を行い、該判定を満足する組のアクセス主体情報とアク
セス対象情報とアクセス内容との3項組からなるアクセ
ス制御リストを生成する。以下、このACL生成処理を
具体的に説明する。
【0058】図4は第1の実施の形態によるACL生成
処理のフローチャートである。ステップS1ではメモリ
のアクセス制御ルールのリストから一つのアクセス制御
ルール、 <伝送路オペレータ,A,サービス管理装置> を入力する。
【0059】ステップS2ではアクセス制御ルールのア
クセス主体種別情報(伝送路オペレータ)に基づきアク
セス主体種別グループ情報より当該種別に属する全ての
アクセス主体情報(主体2,主体3)を抽出する。ステ
ップS3ではアクセス制御ルールのアクセス対象種別情
報(サービス管理装置)に基づきアクセス対象種別グル
ープ情報より当該種別に属する全てのアクセス対象情報
(対象1,対象2)を抽出する。
【0060】ステップS4ではアクセス主体とアクセス
対象との全ての組合せを生成する。この例では、以下の
4つの組が生成される。 主体2と対象1 主体2と対象2 主体3と対象1 主体3と対象2 ステップS5では上記組合せのアクセス主体情報(最初
は主体2)に基づき組織構造情報より当該アクセス主体
が所属する組織の第1のロケーション情報(支社1)を
抽出する。
【0061】ステップS6では上記組合せのアクセス対
象情報(最初は対象1)に基づき組織構造情報より当該
アクセス対象が帰属する組織の第2のロケーション情報
(支社1)を抽出する。ステップS7では前記抽出した
第1,第2のロケーション情報につき入力の制約条件を
判定する。まず最初の第1,第2のロケーション情報の
組は、 支社1(主体2)と支社1(対象1) である。また上記入力の制約条件は<アクセス主体の所
属ロケーション=アクセス対象の帰属ロケーション>で
ある。
【0062】ステップS8では最初の組につき制約条
件を満たすか否かを判別する。この例では支社1(主体
2)=支社1(対象1)であるから、制約条件を満た
し、この場合はステップS9で入力のアクセス制御ルー
ルを対応するアクセス制御リスト<主体2,A,対象1
>に変換する。ステップS10では全ての組合せを処理
したか否かを判別し、この例では処理していないのでス
テップS5に戻る。
【0063】次のステップS5では主体2が所属する第
1のロケーション情報(支社1)が抽出され、またステ
ップS6では対象2が帰属する第2のロケーション情報
(支社2)が抽出される。ステップS7,S8では上記
2番目の組につき制約条件を満たすか否かを判別す
る。この例では支社1(主体2)≠支社2(対象2)で
あるから、制約条件を満足せず、この場合はステップS
9の処理をスキップする。
【0064】以下同様にして進み、このアクセス制御ル
ールについては最終的に以下の4つの組、 支社1(主体2)と支社1(対象1) 支社1(主体2)と支社2(対象2) 支社2(主体3)と支社1(対象1) 支社2(主体3)と支社2(対象2) から、上記制約条件を満足する以下の2つ組、 支社1(主体2)と支社1(対象1) 支社2(主体3)と支社2(対象2) が抽出され、これらに対応する2つのアクセス制御リス
ト、 <主体2,A,対象1> <主体3,A,対象2> が生成される。
【0065】ステップS11では全てのアクセス制御ル
ールを処理したか否かを判別し、処理していない場合は
ステップS1に戻り、次のアクセス制御ルールを入力す
る。また処理した場合はこの処理を終了する。図5は第
2の実施の形態によるACL生成装置の機能ブロック図
で、ACL生成部40が、入力のアクセス制御ルールか
ら出力のアクセス制御リストへの変換を行うACL変換
部41と、入力の制約条件の判定を行う制約条件判定部
42とを備える場合を示している。他の構成は図3で述
べたものと同様で良い。
【0066】アクセス制御リスト変換部41は、アクセ
ス制御ルールのアクセス主体種別及び対象種別の各情報
に基づきアクセス主体種別及び対象種別の各グループ情
報から当該種別に夫々属するアクセス主体及び対象の各
情報を抽出して制約条件判定部42に制約条件の判定を
依頼すると共に、該制約条件を満足した組のアクセス主
体情報とアクセス対象情報とアクセス内容との3項組か
らなるアクセス制御リストを生成する。
【0067】制約条件判定部42は前記抽出されたアク
セス主体及び対象の各情報に基づき組織構造情報より夫
々が所属,帰属する組織の各ロケーション情報を抽出す
ると共に、これらの全ての組合せの内の制約条件を満足
する組を抽出してアクセス制御リスト変換部41に通知
する。図6,図7は第2の実施の形態によるACL生成
処理のフローチャート(1),(2)である。なお、図
4と同様の処理には同一ステップ番号を付して説明を省
略する。
【0068】図6はACL変換部41の処理を示してい
る。ステップS14ではステップS2,S3で取得され
たアクセス主体とアクセス対象との全ての組合せを生成
すると共に、該組合せの情報を伴って制約条件判定部4
2に制約条件の判定を依頼する。因みに、この例では以
下の4つの組が生成される。
【0069】 主体2と対象1 主体2と対象2 主体3と対象1 主体3と対象2 図7は制約条件判定部42の処理を示している。
【0070】ステップS20では制約条件を満足する組
のアクセス主体情報及びアクセス対象情報をメモリに蓄
積する。ステップS10では全ての組合せを処理したか
否かを判別し、処理した場合は図6のステップS19に
戻る。図6において、ステップS19では制約条件判定
部42より通知された制約条件を満足する組のアクセス
主体情報及びアクセス対象情報につき入力のアクセス制
御ルールを対応するアクセス制御リストに変換する。こ
の例では以下の2つのアクセス制御リストに変換され
る。
【0071】<主体2,A,対象1> <主体3,A,対象2> 図8は第3の実施の形態によるACL生成装置の機能ブ
ロック図で、予め複数種の制約条件の情報を記憶してお
く制約条件ライブラリ43を更に備え、またアクセス制
御ルール入力部10はアクセス制御ルールと共に前記制
約条件の情報を指定可能とし、かつ制約条件判定部42
は、前記指定された制約条件の情報に従って制約条件を
判定する場合を示している。
【0072】予め制約条件入力部30より制約条件ライ
ブラリ43に対して複数種の制約条件情報#0,#1,
#2,…,等を記憶しておくことが可能である。従っ
て、例えば上記図18(A)に示したようなシステムの
アクセス制御方針につき、予め複数種の制約条件A,
N,C1,C2等を制約条件ライブラリ43に登録して
おき、かつアクセス制御ルールの入力と共に各制約条件
を指定することにより、システム全体のアクセス制御リ
ストを一挙に生成できる。又は、予め様々なセキュリテ
ィー方針に応じた制約条件の組を用意することで、シス
テムに様々なセキュリティー方針を適用することも容易
に可能となる。
【0073】この場合に、複数種の制約条件情報はロー
ル(担当)とシステムの組織構造(主体,対象,ロケー
ション等)に応じて様々に構成できるが、一例の制約条
件は以下の通りである。 制約条件情報#0:制約無し 制約条件情報#1:アクセス主体はその所属組織が管理
するアクセス対象のみをアクセス可 制約条件情報#2:アクセス主体はその所属配下の組織
が管理するアクセス対象のみをアクセス可 図9,図10は第3の実施の形態によるACL生成処理
のフローチャート(1),(2)である。
【0074】図9はACL変換部41の処理を示してい
る。ステップS21ではメモリのアクセス制御ルールの
リストから一つのアクセス制御ルールを入力する。但
し、このアクセス制御ルールには、 <伝送路オペレータ,A,サービス管理装置,制約条件
識別情報> の如く制約条件の識別(指定)情報#0/#1/#2等
が含まれる。
【0075】ステップS24ではステップS2,S3で
取得されたアクセス主体とアクセス対象との全ての組合
せを生成すると共に、該組合せの情報及び制約条件識別
情報を伴って制約条件判定部42に制約条件の判定を依
頼する。因みに、この例では以下の組が生成されるもの
とする。 主体2と対象1 主体2と対象2 主体2と対象4(但し、対象4は営業所に帰属する
サービス管理装置) 主体3と対象1 主体3と対象2 主体3と対象4 図10は制約条件判定部42の処理を示している。
【0076】ステップS27では指定制約条件に従って
処理分岐する。 制約条件識別情報=#0の場合は、制約無しであるの
で、ステップS20に進み、無条件で当該アクセス主体
情報及びアクセス対象情報の組をメモリに蓄積する。 また制約条件識別情報=#1の場合は、更にステップS
28aで<アクセス主体のロケーション情報>=<アク
セス対象のロケーション情報>か否かを判別し、YES
の場合はステップS20に進む。またNOの場合はステ
ップS20の処理をスキップする。
【0077】また制約条件識別情報=#2の場合は、ス
テップS28bに進み、更に組織構造情報を用いて、ア
クセス主体(例えば主体2)の所属するロケーション情
報(支社1)からその下部組織の方向にアクセス対象
(対象4)のロケーション情報(支社1の営業所)を検
索する。ステップS28cでは対象4のロケーション情
報が見つかったか否かを判別し、見つかった場合はステ
ップS20に進む。また見つからなかった場合はステッ
プS20の処理をスキップする。
【0078】なお、上記制約条件識別情報=#2の場合
は、ステップS5,S6の処理で、 支社1(主体2)と営業所(対象4) の関係が得られる訳であるから、上記ステップS28
b,28cの処理を設ける代わりに、更に組織構造情報
を用いて、営業所が支社1の下部組織であるか否かを判
別するように構成しても良い。
【0079】また、他の制約条件として、 制約条件情報#3:アクセス主体はその所属以下の組織
が管理するアクセス対象のみをアクセス可 を設けても良い。また、例えば、 <伝送路オペレータ,A,サービス管理装置,制約条件
識別情報#1,制約条件識別情報#2> の如く、アクセス制御ルールに複数の制約条件識別情報
の記述を許すと共に、制約条件判定部42では複数種の
制約条件を判定するように処理を構成しても良い。因み
に、この場合は<制約条件識別情報#1,制約条件識別
情報#2>と指定することで、上記制約条件情報#3を
指定した場合と同様のアクセス制御リストが生成され
る。
【0080】図11は第4の実施の形態によるACL生
成装置の機能ブロック図で、予め複数種の組織構造情報
を記憶しておく組織構造ライブラリ44を更に備え、ま
たアクセス制御ルール入力部10はアクセス制御ルール
と共に前記組織構造情報を指定可能とし、かつ制約条件
判定部42は、前記指定された組織構造情報に従って制
約条件を判定する場合を示している。
【0081】予めグループ情報入力部20より組織構造
ライブラリ44に対して複数種の組織構造情報#0,#
1,#2,…,等を記憶しておくことが可能である。従
って、例えば上記図3に示した組織構造情報#0に加え
て、予め他の様々なオペレーションシステムの組織構造
情報#1,#2,…,等を組織構造ライブラリ44に登
録しておき、かつアクセス制御ルールの入力と共に各組
織構造情報を指定することにより、様々なシステムのア
クセス制御リストを容易に生成できる。又は、例えば組
織構造#0が非常に複雑なような場合には、これを本社
−支社1系統,本社−支社2系統又は本社−支社関係,
支社−営業所関係等の如く組織を縦,横に分割して、夫
々に対応する組織構造情報#0a,#0b,…,等の組
を用意することで、複雑な組織構造にも容易に対処でき
る。またこれに伴い、セキュリティー方針(アクセス制
御ルール)の作成も容易になる。
【0082】図12,図13は第4の実施の形態による
ACL生成処理のフローチャート(1),(2)であ
る。図12はACL変換部41の処理を示している。ス
テップS31ではメモリのアクセス制御ルールのリスト
から一つのアクセス制御ルールを入力する。但し、この
アクセス制御ルールには、 <伝送路オペレータ,A,サービス管理装置,組織構造
識別情報> の如く組織構造の識別(指定)情報#0/#1/#2等
が含まれる。
【0083】ステップS34ではステップS2,S3で
取得されたアクセス主体とアクセス対象との全ての組合
せを生成すると共に、該組合せの情報及び組織構造識別
情報を伴って制約条件判定部42に制約条件の判定を依
頼する。図13は制約条件判定部42の処理を示してい
る。ステップS35では上記組合せのアクセス主体情報
に基づき、指定された組織構造情報より当該アクセス主
体が所属する組織の第1のロケーション情報を抽出す
る。
【0084】ステップS36では上記組合せのアクセス
対象情報に基づき、指定された組織構造情報より当該ア
クセス対象が帰属する組織の第2のロケーション情報を
抽出する。ステップS37では前記抽出した第1,第2
のロケーション情報につき入力の制約条件を判定する。
【0085】なお、アクセス制御ルールに複数の組織構
造識別情報の記述を許すと共に、制約条件判定部42で
は複数種の制約条件を判定するように処理を構成しても
良い。こうすれば、複数のNMSのACLを一挙に生成
し、又は1つのNMSの分割された複数の部分組織のA
CLを一挙に生成できる。また、上記アクセス制御ルー
ルに対して組織構造識別情報を付加する代わりに、組織
構造情報の選択部(不図示)を別途に設け、該選択部に
より組織構造情報の指定(選択)を行うように構成して
も良い。
【0086】図14は第5の実施の形態によるACL生
成装置の機能ブロック図で、予め複数種の制約条件情報
及び組織構造情報を記憶しておく制約/構造ライブラリ
45を更に備え、またアクセス制御ルール入力部10は
アクセス制御ルールと共に前記制約条件情報及び組織構
造情報を指定可能とし、かつ制約条件判定部42は、前
記指定された制約条件情報及び組織構造情報に従って制
約条件を判定する場合を示している。従って、複雑なセ
キュリティー方針及び多数又は複雑な組織構造に対して
も容易に対処できる。
【0087】なお、本第5の実施の形態は、上記第3,
第4の各実施の形態の結合(合成)により実現できるの
で、その詳細な説明は省略する。図15は第6の実施の
形態によるACL生成装置の機能ブロック図で、アクセ
ス制御リストの形式変換ルールをメモリに入力する変換
ルール入力部46と、アクセス制御リスト生成部41に
より生成されたアクセス制御リストの形式をメモリの前
記形式変換ルールに従って形式変換する形式変換部47
とを更に備える場合を示している。他の構成については
従前の各実施の形態と同様でよい。
【0088】図16は第6の実施の形態における形式変
換処理のフローチャートである。ステップS41では変
換ルール入力部46より形式変換ルール情報をメモリに
入力する。ステップS42ではACL変換部41よりA
CLデータを取得する。ステップS43では取得したA
CLデータを変換ルールに従って形式変換する。ステッ
プS44では取得データは<EOF>か否かを判別し、
<EOF>でない場合はステップS42に戻り、次のA
CLデータを取得する。また<EOF>の場合はこの処
理を終了する。
【0089】以下に、ACLデータの形式変換の一例を
具体的に説明する。今、ACL変換部41より出力され
るアクセス制御リストの形式を、 <M1,A,T1>[改行] <M2,A,T3>[改行] [EOF] とする。一方、システムで要求されるアクセス制御リス
トの形式は、 {M1,A,T1},{M2,A,T3}[改行] [EOF] とする。この場合の形式変換ルールは、 (変換前) (変換後) < → { > → } [改行] → , [EOF] → [BackSpace ]+[改行]+[EOF] の如くなる。
【0090】従って、アクセス制御リストの解釈実行に
関して異なる形式を要求するような分散システムの様々
なアクセス制御実行部62に対して、夫々が解釈実行で
きる形式のアクセス制御リストを容易に提供できる。な
お、図示しないが、予め複数種の形式変換ルールを記憶
しておく形式変換ルール記憶部を更に備え、またアクセ
ス制御ルール入力部10よりアクセス制御ルールと共
に、又は外部の選択部より形式変換ルールを指定(選
択)可能とし、かつアクセス制御リストの生成時には、
前記指定された形式変換ルールに従ってアクセス制御リ
スト変換部41の出力の各アクセス制御リストの形式変
換を行うように構成しても良い。
【0091】また、上記本発明に好適なる複数の実施の
形態を述べたが、本発明思想を逸脱しない範囲内で各部
の構成、制御、処理及びこれらの組合せの様々な変更が
行えることは言うまでも無い。
【0092】
【発明の効果】以上述べた如く本発明によれば、アクセ
スルール作成者のシステムに対する認識を簡潔にモデル
化したデータ定義(グループ情報)と、アクセス権限の
制約条件の考慮をシステム側でサポートする構成とによ
り、ルール作成者は直感的なルール作成を行える。
【0093】また、アクセス制御対象システム又はアク
セスポリシーに変更・追加が生じたような場合でも、そ
の変更に対応した部分のデータを変更するだけでよく、
よってアクセス制御ルールの作成、変更負担が大幅に軽
減される。
【図面の簡単な説明】
【図1】本発明の原理を説明する図である。
【図2】実施の形態によるアクセス制御管理システムの
一部構成を示す図である。
【図3】第1の実施の形態によるACL生成装置の機能
ブロック図である。
【図4】第1の実施の形態によるACL生成処理のフロ
ーチャートである。
【図5】第2の実施の形態によるACL生成装置の機能
ブロック図である。
【図6】第2の実施の形態によるACL生成処理のフロ
ーチャート(1)である。
【図7】第2の実施の形態によるACL生成処理のフロ
ーチャート(2)である。
【図8】第3の実施の形態によるACL生成装置の機能
ブロック図である。
【図9】第3の実施の形態によるACL生成処理のフロ
ーチャート(1)である。
【図10】第3の実施の形態によるACL生成処理のフ
ローチャート(2)である。
【図11】第4の実施の形態によるACL生成装置の機
能ブロック図である。
【図12】第4の実施の形態によるACL生成処理のフ
ローチャート(1)である。
【図13】第4の実施の形態によるACL生成処理のフ
ローチャート(2)である。
【図14】第5の実施の形態によるACL生成装置の機
能ブロック図である。
【図15】第6の実施の形態によるACL生成装置の機
能ブロック図である。
【図16】第6の実施の形態における形式変換処理のフ
ローチャートである。
【図17】従来技術を説明する図(1)である。
【図18】従来技術を説明する図(2)である。
【図19】従来技術を説明する図(3)である。
【図20】ロールを用いた場合のアクセス制御リストの
一例の生成方法を説明する図である。
【符号の説明】
10 アクセス制御ルール入力部 20 グループ情報入力部 30 制約条件入力部 40 アクセス制御リスト(ACL)生成部 41 アクセス制御リスト(ACL)変換部 42 制約条件判定部 43 制約条件ライブラリ 44 組織構造ライブラリ 45 制約/構造ライブラリ 46 変換ルール入力部 47 形式変換部 51 表示部(DSP) 52 CPU 53 主メモリ(MEM) 54 キーボード部(KBD) 55 ディスク装置(DSK) 56 通信制御部(CIF) 57 共通バス 61 ワークステーション 62 アクセス制御実行部 63 サービス管理装置 64 トラフィック管理装置

Claims (6)

    【特許請求の範囲】
  1. 【請求項1】 オペレーションシステムのセキュリティ
    ー確保を目的とするアクセス制御ルールの入力からシス
    テムで実行可能なアクセス制御リストを生成するアクセ
    ス制御リスト生成方法において、 (a)システムのアクセス主体とアクセス主体種別との
    関係を規定したアクセス主体種別グループ情報と、シス
    テムのアクセス対象とアクセス対象種別との関係を規定
    したアクセス対象種別グループ情報と、前記アクセス主
    体及び対象が所属,帰属するシステムの組織構造を規定
    した組織構造情報とをメモリに入力するステップと、 (b)システムのセキュリティー方針をアクセス主体種
    別情報とアクセス対象種別情報とアクセス内容との3項
    組からなるアクセス制御ルールによりメモリに入力する
    ステップと、 (c)システムの組織構造に基づく制約条件の情報をメ
    モリに入力するステップと、 (d)前記アクセス制御ルールのアクセス主体種別及び
    対象種別の各情報に基づき前記アクセス主体種別及び対
    象種別の各グループ情報より当該種別に属するアクセス
    主体及び対象の各情報を抽出するステップと、 (e)前記抽出したアクセス主体及び対象の各情報に基
    づき前記組織構造情報より当該アクセス主体及び対象が
    所属,帰属する組織の第1,第2のロケーション情報を
    抽出するステップと、 (f)前記抽出した第1,第2のロケーション情報の全
    ての組について前記制約条件を判定するステップと、 (g)前記制約条件を満足する組のアクセス主体情報と
    アクセス対象情報と前記アクセス制御ルールのアクセス
    内容との3項組からなるアクセス制御リストを生成する
    ステップとを備えることを特徴とするアクセス制御リス
    ト生成方法。
  2. 【請求項2】 オペレーションシステムのセキュリティ
    ー確保を目的とするアクセス制御ルールの入力からシス
    テムで実行可能なアクセス制御リストを生成するアクセ
    ス制御リスト生成装置において、 システムのアクセス主体とアクセス主体種別との関係を
    規定したアクセス主体種別グループ情報と、システムの
    アクセス対象とアクセス対象種別との関係を規定したア
    クセス対象種別グループ情報と、前記アクセス主体及び
    対象が所属,帰属するシステムの組織構造を規定した組
    織構造情報とからなるグループ情報をメモリに入力する
    グループ情報入力部と、 システムのセキュリティー方針をアクセス主体種別情報
    とアクセス対象種別情報とアクセス内容との3項組から
    なるアクセス制御ルールによりメモリに入力するアクセ
    ス制御ルール入力部と、 システムの組織構造に基づく制約条件の情報をメモリに
    入力する制約条件入力部と、 前記アクセス制御ルールに基づき前記アクセス主体種別
    及び対象種別の各グループ情報より対応するアクセス主
    体及び対象の各情報を抽出すると共に、これらの全ての
    組合せにつき前記組織構造情報を参照して前記制約条件
    の判定を行い、該判定を満足する組のアクセス主体情報
    とアクセス対象情報とアクセス内容との3項組からなる
    アクセス制御リストを生成するアクセス制御リスト生成
    部とを備えることを特徴とするアクセス制御リスト生成
    装置。
  3. 【請求項3】 アクセス制御リスト生成部は、 アクセス制御ルールのアクセス主体種別及び対象種別の
    各情報に基づきアクセス主体種別及び対象種別の各グル
    ープ情報から当該種別に夫々属するアクセス主体及び対
    象の各情報を抽出して制約条件判定部に制約条件の判定
    を依頼すると共に、該制約条件を満足した組のアクセス
    主体情報とアクセス対象情報とアクセス内容との3項組
    からなるアクセス制御リストを生成するアクセス制御リ
    スト変換部と、 前記抽出されたアクセス主体及び対象の各情報に基づき
    組織構造情報より夫々が所属,帰属する組織の各ロケー
    ション情報を抽出すると共に、これらの全ての組合せの
    内の制約条件を満足する組を抽出してアクセス制御リス
    ト変換部に通知する制約条件判定部とを備えることを特
    徴とする請求項2に記載のアクセス制御リスト生成装
    置。
  4. 【請求項4】 予め複数種の制約条件の情報を記憶して
    おく制約条件記憶部を更に備え、またアクセス制御ルー
    ル入力部はアクセス制御ルールと共に前記制約条件の情
    報を指定可能とし、かつ制約条件の判定時には、前記指
    定された制約条件の情報に従って制約条件を判定するこ
    とを特徴とする請求項2又は3に記載のアクセス制御リ
    スト生成装置。
  5. 【請求項5】 予め複数種の組織構造情報を記憶してお
    く組織構造情報記憶部を更に備え、またアクセス制御ル
    ール入力部はアクセス制御ルールと共に前記組織構造情
    報を指定可能とし、かつ制約条件の判定時には、前記指
    定された組織構造情報に従って制約条件を判定すること
    を特徴とする請求項2乃至4の何れか1に記載のアクセ
    ス制御リスト生成装置。
  6. 【請求項6】 アクセス制御リストの形式変換ルールを
    メモリに入力する変換ルール入力部と、 アクセス制御リスト生成部により生成されたアクセス制
    御リストの形式をメモリの前記形式変換ルールに従って
    形式変換する形式変換部とを更に備えることを特徴とす
    る請求項2乃至5の何れか1に記載のアクセス制御リス
    ト生成装置。
JP10050838A 1998-02-27 1998-03-03 アクセス制御リスト生成方法及びその装置 Pending JPH11313102A (ja)

Priority Applications (2)

Application Number Priority Date Filing Date Title
JP10050838A JPH11313102A (ja) 1998-02-27 1998-03-03 アクセス制御リスト生成方法及びその装置
US09/218,251 US6237036B1 (en) 1998-02-27 1998-12-21 Method and device for generating access-control lists

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
JP10-48041 1998-02-27
JP4804198 1998-02-27
JP10050838A JPH11313102A (ja) 1998-02-27 1998-03-03 アクセス制御リスト生成方法及びその装置

Publications (1)

Publication Number Publication Date
JPH11313102A true JPH11313102A (ja) 1999-11-09

Family

ID=26388256

Family Applications (1)

Application Number Title Priority Date Filing Date
JP10050838A Pending JPH11313102A (ja) 1998-02-27 1998-03-03 アクセス制御リスト生成方法及びその装置

Country Status (2)

Country Link
US (1) US6237036B1 (ja)
JP (1) JPH11313102A (ja)

Cited By (13)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2002084324A (ja) * 2000-09-08 2002-03-22 Fuji Xerox Co Ltd ネットワーク接続制御方法および装置
JP2004341896A (ja) * 2003-05-16 2004-12-02 Nippon Telegr & Teleph Corp <Ntt> 属性承認装置、属性承認リソース管理装置、および属性承認装置監査統計サーバ
JP2008287713A (ja) * 2007-04-26 2008-11-27 Hewlett-Packard Development Co Lp データ処理システムおよびデータ処理方法
WO2009113483A1 (ja) * 2008-03-10 2009-09-17 日本電気株式会社 アクセス制御システム、アクセス制御方法、及び記憶媒体
JP2009539183A (ja) * 2006-05-30 2009-11-12 マイクロソフト コーポレーション 役割ベースのアクセス制御ポリシーの資源許可ポリシーへの変換
US7624424B2 (en) 2004-05-21 2009-11-24 Nec Corporation Access control system, access control method, and access control program
JP2010117885A (ja) * 2008-11-13 2010-05-27 Mitsubishi Electric Corp アクセス制御装置、アクセス制御装置のアクセス制御方法およびアクセス制御プログラム
WO2012039081A1 (ja) * 2010-09-22 2012-03-29 日本電気株式会社 アクセス権可否生成装置、アクセス権可否生成方法、プログラム、及び、アクセス制御システム
US8613042B2 (en) 2009-03-19 2013-12-17 Nec Corporation Access control list conversion system, and method and program threrfor
US8813250B2 (en) 2010-03-31 2014-08-19 Nec Corporation Access control program, system, and method
USRE46439E1 (en) 1997-03-10 2017-06-13 Dropbox, Inc. Distributed administration of access to information and interface for same
CN120455171A (zh) * 2025-07-10 2025-08-08 成都职业技术学院 服务器数据访问控制方法、装置、设备及存储介质
JP7781350B1 (ja) * 2024-02-01 2025-12-05 三菱電機株式会社 認可サーバ装置、認可システム、認可方法、および認可プログラム

Families Citing this family (70)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6453353B1 (en) * 1998-07-10 2002-09-17 Entrust, Inc. Role-based navigation of information resources
US6587876B1 (en) * 1999-08-24 2003-07-01 Hewlett-Packard Development Company Grouping targets of management policies
US6684244B1 (en) 2000-01-07 2004-01-27 Hewlett-Packard Development Company, Lp. Aggregated policy deployment and status propagation in network management systems
US7251666B2 (en) * 2000-02-01 2007-07-31 Internet Business Information Group Signature loop authorizing method and apparatus
US6880005B1 (en) * 2000-03-31 2005-04-12 Intel Corporation Managing policy rules in a network
JP2002063167A (ja) * 2000-08-16 2002-02-28 Fuji Xerox Co Ltd オブジェクト管理方法および装置
JP3790661B2 (ja) * 2000-09-08 2006-06-28 インターナショナル・ビジネス・マシーンズ・コーポレーション アクセス制御システム
US6691121B1 (en) * 2000-10-27 2004-02-10 Bmc Software, Inc. Method and apparatus for online and dynamic extension of IMS data entry databases
US6985955B2 (en) * 2001-01-29 2006-01-10 International Business Machines Corporation System and method for provisioning resources to users based on roles, organizational information, attributes and third-party information or authorizations
US6947989B2 (en) * 2001-01-29 2005-09-20 International Business Machines Corporation System and method for provisioning resources to users based on policies, roles, organizational information, and attributes
US20020143735A1 (en) * 2001-03-30 2002-10-03 Akin Ayi User scope-based data organization system
US7003578B2 (en) * 2001-04-26 2006-02-21 Hewlett-Packard Development Company, L.P. Method and system for controlling a policy-based network
US7380271B2 (en) * 2001-07-12 2008-05-27 International Business Machines Corporation Grouped access control list actions
AU2003208940A1 (en) * 2002-01-30 2003-09-02 Core Sdi, Inc. Framework for maintaining information security in computer networks
US7363363B2 (en) * 2002-05-17 2008-04-22 Xds, Inc. System and method for provisioning universal stateless digital and computing services
US7216125B2 (en) * 2002-09-17 2007-05-08 International Business Machines Corporation Methods and apparatus for pre-filtered access control in computing systems
US20050177415A1 (en) * 2002-10-08 2005-08-11 Mann Michael M. Business analysis and management systems utilizing emergent structures
US7480798B2 (en) * 2003-06-05 2009-01-20 International Business Machines Corporation System and method for representing multiple security groups as a single data object
US7478094B2 (en) * 2003-06-11 2009-01-13 International Business Machines Corporation High run-time performance method for setting ACL rule for content management security
US20050015674A1 (en) * 2003-07-01 2005-01-20 International Business Machines Corporation Method, apparatus, and program for converting, administering, and maintaining access control lists between differing filesystem types
US8478668B2 (en) * 2004-03-12 2013-07-02 Sybase, Inc. Hierarchical entitlement system with integrated inheritance and limit checks
US7797239B2 (en) * 2004-03-12 2010-09-14 Sybase, Inc. Hierarchical entitlement system with integrated inheritance and limit checks
US7739501B2 (en) 2004-07-29 2010-06-15 Infoassure, Inc. Cryptographic key construct
US8078707B1 (en) * 2004-11-12 2011-12-13 Juniper Networks, Inc. Network management using hierarchical domains
TWI252976B (en) 2004-12-27 2006-04-11 Ind Tech Res Inst Detecting method and architecture thereof for malicious codes
FR2884997A1 (fr) * 2005-04-25 2006-10-27 Thomson Licensing Sa Procede d'etablissement d'un acces multi-liens entre un reseau local et un reseau distant et appareils implementant le procede
US7580933B2 (en) * 2005-07-28 2009-08-25 Microsoft Corporation Resource handling for taking permissions
US20070083554A1 (en) * 2005-10-12 2007-04-12 International Business Machines Corporation Visual role definition for identity management
US20070100830A1 (en) * 2005-10-20 2007-05-03 Ganesha Beedubail Method and apparatus for access control list (ACL) binding in a data processing system
US8060592B1 (en) * 2005-11-29 2011-11-15 Juniper Networks, Inc. Selectively updating network devices by a network management application
US20070162909A1 (en) * 2006-01-11 2007-07-12 Microsoft Corporation Reserving resources in an operating system
US20070294699A1 (en) * 2006-06-16 2007-12-20 Microsoft Corporation Conditionally reserving resources in an operating system
US8266702B2 (en) 2006-10-31 2012-09-11 Microsoft Corporation Analyzing access control configurations
EP1927929A1 (de) 2006-11-30 2008-06-04 Siemens Aktiengesellschaft Verfahren zur Vergabe von Zugriffsrechten
WO2008135298A1 (en) * 2007-05-04 2008-11-13 International Business Machines Corporation Management of user authorisations
US8150820B1 (en) * 2007-10-04 2012-04-03 Adobe Systems Incorporated Mechanism for visible users and groups
JP5673543B2 (ja) * 2009-09-10 2015-02-18 日本電気株式会社 ロール設定装置、ロール設定方法及びロール設定プログラム
US8464319B2 (en) 2010-01-08 2013-06-11 Microsoft Corporation Resource access based on multiple scope levels
JP5439337B2 (ja) * 2010-10-27 2014-03-12 株式会社日立ソリューションズ 情報処理システム、情報処理システムの制御方法、検索制御装置
KR20120054839A (ko) * 2010-11-22 2012-05-31 삼성전자주식회사 계층 구조 기반의 데이터 접근 제어 장치 및 방법
CA2856524A1 (en) * 2010-11-24 2012-05-31 Skai, Inc. System and method for access control and identity management
US10044582B2 (en) 2012-01-28 2018-08-07 A10 Networks, Inc. Generating secure name records
US9722918B2 (en) 2013-03-15 2017-08-01 A10 Networks, Inc. System and method for customizing the identification of application or content type
US9912555B2 (en) 2013-03-15 2018-03-06 A10 Networks, Inc. System and method of updating modules for application or content identification
WO2014176461A1 (en) 2013-04-25 2014-10-30 A10 Networks, Inc. Systems and methods for network access control
US9294503B2 (en) 2013-08-26 2016-03-22 A10 Networks, Inc. Health monitor based distributed denial of service attack mitigation
US10348561B1 (en) 2013-11-20 2019-07-09 Rockwell Automation, Inc. Systems and methods for automated access to relevant information in a mobile computing environment
US9906422B2 (en) 2014-05-16 2018-02-27 A10 Networks, Inc. Distributed system to determine a server's health
US9756071B1 (en) 2014-09-16 2017-09-05 A10 Networks, Inc. DNS denial of service attack protection
US9537886B1 (en) 2014-10-23 2017-01-03 A10 Networks, Inc. Flagging security threats in web service requests
US9621575B1 (en) 2014-12-29 2017-04-11 A10 Networks, Inc. Context aware threat protection
US9584318B1 (en) 2014-12-30 2017-02-28 A10 Networks, Inc. Perfect forward secrecy distributed denial of service attack defense
US9900343B1 (en) 2015-01-05 2018-02-20 A10 Networks, Inc. Distributed denial of service cellular signaling
US9848013B1 (en) 2015-02-05 2017-12-19 A10 Networks, Inc. Perfect forward secrecy distributed denial of service attack detection
US10063591B1 (en) 2015-02-14 2018-08-28 A10 Networks, Inc. Implementing and optimizing secure socket layer intercept
US9787581B2 (en) 2015-09-21 2017-10-10 A10 Networks, Inc. Secure data flow open information analytics
US10469594B2 (en) 2015-12-08 2019-11-05 A10 Networks, Inc. Implementation of secure socket layer intercept
US10812348B2 (en) 2016-07-15 2020-10-20 A10 Networks, Inc. Automatic capture of network data for a detected anomaly
US10341118B2 (en) 2016-08-01 2019-07-02 A10 Networks, Inc. SSL gateway with integrated hardware security module
CN106357515B (zh) * 2016-09-28 2020-03-17 湖南优图信息技术有限公司 一种基于微信公众平台的信息发布系统及方法
US20180124062A1 (en) * 2016-11-03 2018-05-03 e-Safe Systems Sdn Bhd System And Method For Controlling Access Of Users To Sensitive Information Content In An Organization
US10382562B2 (en) 2016-11-04 2019-08-13 A10 Networks, Inc. Verification of server certificates using hash codes
US10250475B2 (en) 2016-12-08 2019-04-02 A10 Networks, Inc. Measurement of application response delay time
US10397270B2 (en) 2017-01-04 2019-08-27 A10 Networks, Inc. Dynamic session rate limiter
US10187377B2 (en) 2017-02-08 2019-01-22 A10 Networks, Inc. Caching network generated security certificates
ES2923277T3 (es) * 2017-12-20 2022-09-26 Inventio Ag Sistema de control de acceso con autenticación por radio y detección de contraseña
US10623520B1 (en) * 2019-06-13 2020-04-14 Sailpoint Technologies, Inc. System and method for tagging in identity management artificial intelligence systems and uses for same, including context based governance
US11595385B2 (en) * 2019-11-26 2023-02-28 Twingate, Inc. Secure controlled access to protected resources
US12373370B2 (en) * 2021-09-24 2025-07-29 Intel Corporation Dynamically influencing bandwidth
CN114004593A (zh) * 2021-11-01 2022-02-01 支付宝(杭州)信息技术有限公司 合规检测方法以及装置

Family Cites Families (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5406477A (en) * 1991-08-30 1995-04-11 Digital Equipment Corporation Multiple reasoning and result reconciliation for enterprise analysis
US6088451A (en) * 1996-06-28 2000-07-11 Mci Communications Corporation Security system and method for network element access
US5889952A (en) * 1996-08-14 1999-03-30 Microsoft Corporation Access check system utilizing cached access permissions

Cited By (17)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
USRE46439E1 (en) 1997-03-10 2017-06-13 Dropbox, Inc. Distributed administration of access to information and interface for same
JP2002084324A (ja) * 2000-09-08 2002-03-22 Fuji Xerox Co Ltd ネットワーク接続制御方法および装置
JP2004341896A (ja) * 2003-05-16 2004-12-02 Nippon Telegr & Teleph Corp <Ntt> 属性承認装置、属性承認リソース管理装置、および属性承認装置監査統計サーバ
US7624424B2 (en) 2004-05-21 2009-11-24 Nec Corporation Access control system, access control method, and access control program
US8381306B2 (en) 2006-05-30 2013-02-19 Microsoft Corporation Translating role-based access control policy to resource authorization policy
JP2009539183A (ja) * 2006-05-30 2009-11-12 マイクロソフト コーポレーション 役割ベースのアクセス制御ポリシーの資源許可ポリシーへの変換
JP2008287713A (ja) * 2007-04-26 2008-11-27 Hewlett-Packard Development Co Lp データ処理システムおよびデータ処理方法
WO2009113483A1 (ja) * 2008-03-10 2009-09-17 日本電気株式会社 アクセス制御システム、アクセス制御方法、及び記憶媒体
JP5424062B2 (ja) * 2008-03-10 2014-02-26 日本電気株式会社 アクセス制御システム、アクセス制御方法、及び記憶媒体
JP2010117885A (ja) * 2008-11-13 2010-05-27 Mitsubishi Electric Corp アクセス制御装置、アクセス制御装置のアクセス制御方法およびアクセス制御プログラム
US8613042B2 (en) 2009-03-19 2013-12-17 Nec Corporation Access control list conversion system, and method and program threrfor
US8813250B2 (en) 2010-03-31 2014-08-19 Nec Corporation Access control program, system, and method
WO2012039081A1 (ja) * 2010-09-22 2012-03-29 日本電気株式会社 アクセス権可否生成装置、アクセス権可否生成方法、プログラム、及び、アクセス制御システム
JP5807640B2 (ja) * 2010-09-22 2015-11-10 日本電気株式会社 アクセス権可否生成装置、アクセス権可否生成方法、プログラム、及び、アクセス制御システム
US9256716B2 (en) 2010-09-22 2016-02-09 Nec Corporation Access authority generation device
JP7781350B1 (ja) * 2024-02-01 2025-12-05 三菱電機株式会社 認可サーバ装置、認可システム、認可方法、および認可プログラム
CN120455171A (zh) * 2025-07-10 2025-08-08 成都职业技术学院 服务器数据访问控制方法、装置、设备及存储介质

Also Published As

Publication number Publication date
US6237036B1 (en) 2001-05-22

Similar Documents

Publication Publication Date Title
JPH11313102A (ja) アクセス制御リスト生成方法及びその装置
JP5911694B2 (ja) 列車ダイヤ編集システムおよび列車ダイヤ編集方法
US20070288275A1 (en) It services architecture planning and management
Leinonen et al. New construction management practice based on the virtual reality technology
CN109685452A (zh) 一种供电公司项目数据管理平台
CN112150122A (zh) 一种网络资源敏捷定位与决策系统
US20030084067A1 (en) Method and apparatus for asset management
CN113010254A (zh) 基于群组频道的交互方法、装置、计算机设备和存储介质
CN117236645B (zh) 一种基于设备信息分类的数据中心用it资产管理系统
CN109559213A (zh) 税务业务的处理方法及装置
CN118779388A (zh) 电网资产设备的信息处理系统及方法、存储介质、设备
CN116777599A (zh) 业务决策方法、装置、终端设备及存储介质
US8725521B2 (en) System and method for designing secure business solutions using patterns
CN103150622A (zh) 一种基于gis的安防网络资源管理方法、装置和系统
CN115018461A (zh) 金融数据线上填报方法、计算机设备及存储介质
CN109725973B (zh) 一种数据处理方法和数据处理装置
CN119417378A (zh) 一种视频点位治理方法
CN101393620A (zh) 描述人工活动的模型
Ledlow et al. Animated simulation: a valuable decision support tool for practice improvement
JP3708199B2 (ja) コンカレントエンジニアリング支援システム及びコンカレントエンジニアリング支援方法
CN107392817A (zh) 一种巡防管理系统
CN112633764A (zh) 智能客服系统及客户服务方法
JP2003085044A (ja) リソース提供システム、及びアクセス権設定システム
Wen Analysis of Integrated Strategy of Information flow of Education and Teaching Management in independent Colleges and Universities
Danilescu et al. Design of software applications using access and actions control policies based on trust

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20040309

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20051017

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20051025

A02 Decision of refusal

Free format text: JAPANESE INTERMEDIATE CODE: A02

Effective date: 20060411