本发明专利技术涉及文件访问控制装置及程序。在本发明专利技术的一个实施方式的文件访问控制系统中,预先将与操作对应的控制信息作为责任型策略而附加给文档文件。然后,根据对文档文件的操作,策略评价控制模块(44)评价以及执行文档文件内的责任型策略。在该责任型策略的执行中包含基于责任执行行为的文档应用部的控制。因此,可以根据对文档的操作来实施主动的控制,另外可以变更对文档的访问控制。
【技术实现步骤摘要】
【国外来华专利技术】
本专利技术涉及为了恰当地保护文档文件而执行访问控制的文件访问控制装 置及程序,例如涉及才艮据对文档文件的操作,可以实施主动的控制,另外可以 变更对文档的访问控制的文件访问控制装置及程序。
技术介绍
近年,根据权限信息控制针对特定的信息或处理的行为(action)的访问 控制技术的重要性大大提高。作为这种技术,有例如以下方式当收到与个人 信息或认可处理对应的行为请求时,根据行为请求者(访问主体或主题 (subject))拥有的权限信息、以及权限信息和表示了行为的可否模式的访问 控制规则或访问控制策略,决定可否执行该行为。所谓访问控制策略, 一般认为是访问控制规则的集合。访问控制策略,也 公开了标准的记载头见范(例如Tim Moses, "extensible Access Control Markup Language (XACML)Version 2.0" ,,、参照 因特网URL:http:〃docs.oasis-open.org/xacml/2.0/XACML-2.0-OS-NORMATIVE. zip。),得到了广泛利用。此外,在该标准的记载规范中,作为附带的要素而 记载了规定责任(Obligation)的要素。该责任要素, 一般设想记载"必须-" 这样的责任行为内容。但是,在该标准的记载规范中未规定责任要素的详细内 容记载。另外,在标准的记载规范中未规定包含责任的情况下的访问控制策略 的操作、以及针对评价结果的处理方法。另一方面,在针对文档文件的访问控制方法中,存在将权限信息作为安全 属性来附加的方式。在该方式中,例如以"许可阅览,,或"许可编辑"这样的 访问可否形式来记载针对文件的权限信息,并且将权限信息分配给用户。这种 权限信息,作为访问控制矩阵(Access Control Matrix )或访问控制列表(Access Control List)而已知。例如在特开2005-56418号公报中揭示了作为"安全容 器(securitycontainer)"而对文档文件附加^i限(>见则)的方法。5但是,在行为可否形式中,如被许可的访问时间或访问场所这样的条件、 或更详细的限制等,详细记载灵活的访问控制内容变得困难。近年,在需要例如访问控制策略或许可(license)的领域,尤其是在一般的文档应用等中,需要可以记载更详细的访问控制内容的访问控制策略形式的访问控制方式。
技术实现思路
通过上述说明的
技术介绍
,可以记载更详细的访问控制内容,但其局限于 主要对特定的访问判断是否许可。然而,根据本专利技术人的研究,从针对文档等 的控制的观点来看,认为不仅需要判断是否许可针对特定的访问,还需要进行 更主动的控制。例如考察到存在以下要求在文档文件中设定有效期限,在有 效期限到期时,不仅简单地禁止访问,而且主动地删除该文档文件。这是因为, 仅通过简单地禁止对有效期限到期的文档文件的访问,文档文件本身继续存 在,因此持续保留潜在的风险。另外,在4喿作文档文件的状况下,在进行了操:作的时刻,该文档的状态迁 移,因此有时想要变更权限。具体而言,在对通过适当的认可而发行的正式文 档进行了编辑操作时,表示"正式文档"的状态迁移到表示"非正式文档"的 状态,因此,有时想要把处理权限从"许可打印"变更到"禁止打印"。但是,在现有的访问控制方式中,无论状态迁移前后,都继续应用启动文 档应用时的权限。因此,编辑后的非正式文档有可能通过"许可打印"的处理 权限而被打印,并被错误地分发。这样,在现有的访问控制方式中,存在无法根据对文档的操作来实施主动 的控制、或者变更对文档的访问控制等不适当的情况。本专利技术的目的是提供一种文件访问控制装置以及程序,能够根据对文档的 才喿作来实施主动的控制,另外可以变更对文档的访问控制。本专利技术的一个方面,是一种用于控制对文档文件的访问的文件访问控制装 置,其具备可以存储包含文档内容和禁止型策略以及责任型策略的文档文件的 存储装置、策略评价控制模块、文档应用部以及外部服务部,所述策略评价控 制模块具备可否信息取得单元,从所述文档应用部以及外部服务部分别取得 执行可否信息然后保存;认证结果取得单元,当从所述文档应用部输入与用户 的操作内容对应的事件信息以及所述存储装置内的文档文件时,根据预先决定的评价信息列表,取得所述用户的认证结果以及用户属性信息;当根据所述评 价信息列表从所述可否信息取得单元取得执行可否信息时,送出由该执行可否 信息、所述认证结果以及所述用户属性信息构成的评价信息、所述事件信息、 所述禁止型策略以及所述责任型策略的单元;禁止型策略评价单元,将所述送 出的评价信息内的认证结果、用户属性信息以及事件信息,与在所述禁止型策 略中预先记载的认证结果、用户属性信息以及事件信息分别进行比较,若比较 结果分别一致,则送出在所述禁止型策略中预先记载的表示许可或禁止的评价 结果;责任型策略评价单元,将所述评价信息内的执行可否信息、所述事件信 息以及所述评价结果,与在所述责任型策略中预先记载的执行可否信息、所述 事件信息以及所述评价结果分别进行比较,若比较结果分别一致,则送出包含 在所述责任型策略中预先记载的责任执行主体以及责任执行行为的控制信息; 控制管理单元,当收到所述控制信息时,根据所述控制信息内的责任执行主体 送出该控制信息;以及文档应用控制单元,根据从所述控制管理单元送出的控 制信息内的责任执行行为,控制所述文档应用部。根据本专利技术的一个方面,预先将与操作对应的控制信息作为责任型策略而 附加给文档文件。接着,根据对文档文件的操作,由策略评价控制模块评价及 执行文档文件内的责任型策略。在责任型策略的执行中包含基于责任执行行为 的文档应用部的控制。因此,根据对文档的操作,可以实施主动的控制,另外 可以变更对文档的访问控制。 附图说明图l是表示应用了本专利技术的第1实施方式的文件访问控制装置的文件访问 控制系统的结构例的示意图。图2是表示该实施方式中的认证服务器装置的结构的框图。图3是表示该实施方式中的密钥管理服务器装置的结构的框图。图4是表示该实施方式中的策略设定装置的结构的框图。图5是表示该实施方式的文档文件的结构例的示意图。图6是用于说明该实施方式中的责任型策略的示意图。图7是用于说明该实施方式中的责任型策略的示意图。闺8是用于说明该实施方式中的责任型策略的示意图。图9是表示该实施方式中的文件访问控制装置的结构的框图。图10是表示该实施方式中的策略评价控制模块的结构的框图。图11是表示该实施方式中的文件访问控制装置的硬件资源和软件的组合 结构的示意图。图12是用于说明该实施方式中的动作的流程图。 图13是用于说明该实施方式中的动作的变形例的流程图。 具体实施例方式以下,使用附图说明本专利技术的各实施方式。此外,以下的各装置,对于每 个装置可以通过硬件结构、或硬件资源和软件的组合结构中的任意一种来实 施。作为组合结构的软件,使用预先从网络或存储介质安装到对应的装置的计 算机中,用于实现对应的装置的功能的程序。 (第1实施方式)图l是表示应用了本专利技术的第1实施方式的文件访问控制装置的文件访问 控制系统的结构例的示意图。该文件访问控制系统,经由网络将认证服务器装 置10、密钥管理服务器装置20、策本文档来自技高网...
【技术保护点】
一种文件访问控制装置(40),其用于控制对文档文件的访问,其特征在于, 具备可以存储包含文档内容和禁止型策略以及责任型策略的文档文件的存储装置(41)、策略评价控制模块(44)、文档应用部(45)以及外部服务部(46), 所述策 略评价控制模块具备: 可否信息取得单元(44d),从所述文档应用部以及外部服务部分别取得执行可否信息后保存; 认证结果取得单元(44c),当从所述文档应用部输入与用户的操作内容对应的事件信息以及所述存储装置内的文档文件时,根据预 先决定的评价信息列表,取得所述用户的认证结果以及用户属性信息; 当根据所述评价信息列表从所述可否信息取得单元取得执行可否信息时,送出由该执行可否信息、所述认证结果以及所述用户属性信息构成的评价信息、所述事件信息、所述禁止型策略以及所述 责任型策略的单元(44c); 禁止型策略评价单元(44e),将所述送出的评价信息内的认证结果、用户属性信息以及事件信息,与在所述禁止型策略中预先记载的认证结果、用户属性信息以及事件信息分别进行比较,若比较结果分别一致,则送出在所述禁止 型策略中预先记载的表示许可或禁止的评价结果; 责任型策略评价单元(44f),将所述评价信息内的执行可否信息、所述事件信息以及所述评价结果,与在所述责任型策略中预先记载的执行可否信息、所述事件信息以及所述评价结果分别进行比较,若比较结果 分别一致,则送出包含在所述责任型策略中预先记载的责任执行主体以及责任执行行为的控制信息; 控制管理单元(44g),当收到所述控制信息时,根据所述控制信息内的责任执行主体送出该控制信息;以及 文档应用控制单元(44h),根据从所述 控制管理单元送出的控制信息内的责任执行行为,控制所述文档应用部。...
【技术特征摘要】
【国外来华专利技术】...
【专利技术属性】
技术研发人员:冈田光司,池田龙朗,山田正隆,西泽实,中沟孝则,冈本利夫,
申请(专利权)人:株式会社东芝,东芝解决方案株式会社,
类型:发明
国别省市:JP[日本]
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。