根据一个实施方式,访问控制系统(1),当策略执行装置(30)从操作者终端(10)接收到访问请求时,向策略评价装置(40)查询对资源装置(20)的访问所需的策略属性,将基于查询结果的策略评价请求发送给策略评价装置(40)。
【技术实现步骤摘要】
【国外来华专利技术】
本专利技术的实施方式涉及在分散环境中也能够高效率地进行访问控制的访问控制系统。
技术介绍
近年来,根据权限信息来控制特定的信息或行为的访问控制技术的重要性不断提高。例如,行为可否形式的访问控制得到广泛利用。作为行为可否形式的访问控制,例如有将针对文档文件的权限信息作为安全属性的访问控制。详细来说,以“阅览许可”或“编辑许可”等行为可否形式记载了分配给用户的、对文档文件的权限信息。作为这种权限信息,已知访问控制矩阵(Access Control Matrix)或访问控制列表(Access Control List)。例如,公开了作为“安全容器”而对文档文件设定权限信息(规则)的方法。但是,在行为可否形式的访问控制中,难以记载被许可的访问时间或访问场所等的条件、或详细的功能限制等灵活的访问控制内容。因此,近年来不仅利用行为可否形式的访问控制,还利用访问控制策略形式的访问控制。访问控制策略是访问控制规则的集合,公开了标准的记载规范。在该访问控制策略形式的访问控制中,能够记载被许可的条件或详细的功能限制。例如在访问控制策略形式的访问控制中,当接受对文档文件的访问请求时,在判定了是否应该打开文件的基础上,能够进行限制为访问控制策略中所规定的功能等的控制。但是,在访问控制策略形式的访问控制中,需要从进行访问控制的策略执行点(Policy Enforcement Point)向评价访问控制策略的策略决定点(PolicyDecisionPoint)请求评价与访问控制的策略信息对应的访问内容。例如,请求访问主体(subject)或访问行为(action)等的评价。此外,一般来说,在访问控制前进行访问主体的认证,但是此时与访问控制策略等不同,作为用于决定能够证明访问主体的认证方式的信息而使用认证策略的情况较多。但是,在访问控制策略形式的访问控制中,策略执行点不具有访问控制策略的评价所需要的策略属性的信息,因此,即使进行访问请求有时也不许可访问。因此,需要即使在这种情况下也能够高效率地进行访问控制的机制。现有技术文件专利文献专利文献I :日本特开2001-306521号公报非专利文献非专利文献I :Tim Moses>^extensible Access Control MarkupLanguage (XACML) Version2. 0”、、、因特网〈URL http://docs, oasis-open, org/xacml/2. 0/access_control-xacml_2· 0-core-spec-os· pdt>附图说明图I是表示第I实施方式的访问控制系统的结构的示意图。图2是表示该实施方式的“策略属性查询”的一例的图。图3是表示该实施方式的“策略评价请求”的一例的图。图4是表示该实施方式的“策略信息”的一例的图。图5是表示该实施方式的“策略信息”的一例的图。图6是表示该实施方式的“策略属性应答”的一例的图。 图7是用于说明该实施方式的访问控制系统I的动作的流程图。图8是用于说明现有的访问控制的动作的图。具体实施例方式实施方式的访问控制系统具备用于控制操作者终端与资源装置的访问的策略执行装置以及策略评价装置。策略执行装置具备接收从操作者终端对资源装置的访问请求的访问请求接收部。策略执行装置具备策略属性查询部,用于当接收到访问请求时,向策略评价装置 查询与资源装置的访问所需的策略属性。策略执行装置具备连接条件信息取得部,用于当从策略评价装置接收到策略属性时,取得与该策略属性对应的连接条件信息。策略执行装置具备策略评价请求部,其当取得连接条件信息时,向策略评价装置发送包含该连接条件信息的策略评价请求。策略执行装置具备访问控制部,其根据针对策略评价请求的策略评价应答,控制操作者终端与资源装置的访问。策略评价装置具备策略信息存储部,其存储表示对资源装置的连接条件的策略信肩、O策略评价装置具备策略属性解析部,其根据策略信息,解析与来自策略执行装置的策略属性查询对应的策略属性。策略评价装置具备策略属性应答部,其向策略执行装置应答通过策略属性解析部解析的策略属性。策略评价装置具备策略评价应答部,其当从策略执行装置接收到策略评价请求时,根据该策略评价请求中包含的连接条件信息和策略信息,向该策略执行装置发送表示是否许可操作者终端与资源装置的访问的策略评价应答。以下,参照附图说明实施方式。<第I实施方式>(访问控制系统的结构)图I是表示第I实施方式的访问控制系统I的结构的示意图。访问控制系统I具有策略执行装置30和策略评价装置40,执行操作者终端10与资源装置20的访问控制。此外,这些各装置10 40通过网络互相连接。另外,作为访问控制的前提,事先在策略评价装置40中存储了针对资源装置20的策略信息。另外,在本实施方式中将策略执行装置30与外部认证提供者50连接。操作者终端10是由操作者操作的终端装置。操作者以经由该操作者终端10访问特定的资源装置20为目的。当操作者终端10访问资源装置20时,从操作者终端10向资源装置20的“访问请求”被发送到策略执行装置30。资源装置20是操作者终端10的访问对象。例如在资源装置20中存储了由各种服务提供商提供的“资源信息”。对于资源装置20,通过策略信息预先定义了连接条件,仅对满足与特定的策略属性对应的连接条件的访问请求许可访问。此外,在分散环境系统中分别存在多个资源装置20和操作者终端10。策略执行装置30是作为所谓的策略执行点而发挥作用的装置,具备访问请求接 收部31、策略属性查询部32、策略属性查询生成部33、连接条件信息取得部34、策略评价请求部35、访问控制部36。访问请求接收部31从操作者终端10接收对资源装置20的访问请求。访问请求接收部31当接收访问请求时向策略属性查询部32送出操作者终端10要访问的资源装置20的信息。策略属性查询部32,用于当从操作者终端10接收到访问请求时向策略评价装置40查询与资源装置20的访问所需的策略属性。总之,该策略属性查询部32事先查询为了进行后述的策略评价请求而需要的策略属性的信息。另外,策略属性查询部32,当查询策略属性时向策略属性查询生成部33请求策略属性查询的生成。另外,在本实施方式中假定策略属性查询部32查询“认证方式”作为策略属性。若补充说明,在认证方式中包括密码认证或IC卡认证、生物体认证等。因此,策略属性查询部32向策略评价装置40查询是否若是上述中的某一种认证则许可对资源装置20的访问。但是,除了认证方式以外,当然也可以将场所或操作应用程序类别等其它条件应用于策略属性。策略属性查询生成部33生成用于查询策略属性的“策略属性查询”。策略属性查询被策略评价装置40用于根据策略信息来解析必要的策略属性。关于策略信息,在后面进行说明。该策略属性查询例如成为图2所示的结构的信息。详细来说,通过AttributeFindingQuery 要素 e21 表现策略属性查询。AttributeFindingQuery 要素 e21,在子要素中具有一个以上的Query要素e22,通过QueryId属性来识别各Query要素。Query要素e22具有表示作为想要查询的对象的策略属性的QueryTarget本文档来自技高网...
【技术保护点】
【技术特征摘要】
【国外来华专利技术】...
【专利技术属性】
技术研发人员:池田龙朗,冈田光司,山田正隆,中沟孝则,西泽实,冈本利夫,
申请(专利权)人:株式会社东芝,东芝解决方案株式会社,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。