本發明專利技術提供一種訪問控制裝置以及存儲介質,根據實施方式,上述訪問控制裝置具備保留單元、決定請求生成單元、訪問決定單元以及解除單元。當資源訪問事件開始時,上述保留單元在資源訪問單元的訪問之前保留上述資源訪問事件。上述決定請求生成單元在其保留過程中從上述資源訪問單元獲取訪問請求,生成包括該訪問請求的訪問決定請求。當接受了上述訪問決定請求和訪問控制策略時,上述訪問決定單元通過該訪問控制策略內的禁止型策略從屬性管理單元獲取屬性信息,根據該屬性信息和禁止型策略來決定上述訪問的允許和拒絕。上述解除單元在上述訪問決定應答內的決定結果表示允許時,如果在該訪問決定應答內不存在任務型策略,則解除上述保留。
【技術實現步驟摘要】
【國外來華專利技術】
本專利技術的實施方式涉及訪問控制裝置以及存儲介質。
技術介紹
近年來,根據權限信息來控制特定的信息、動作的訪問控制技術的重要性提高。例如,是否允許動作形式的訪問控制廣泛利用。在是否允許動作形式的訪問控制中例如存在將對文檔文件的權限信息設為安全屬性的方式。在該方式中,以“閱覽允許”、“編輯允許”等是否允許動作形式來描述對文檔文件的權限信息,將權限信息分配至用戶。可知這種權限信息作為訪問控制矩陣(AccessControl Matrix :存取控制矩陣)、訪問控制表(Access Control List)。然而,在是否允許動作形式的訪問控制中,如允許的訪問時間、訪問位置等條件、 詳細的功能限制等那樣,難以詳細而靈活地描述訪問控制內容。因此,近年來,不僅利用是否允許動作形式,還利用訪問控制策略形式的訪問控制。訪問控制策略是訪問控制規則的集合,公開了標準的描述規格。在訪問控制策略形式的訪問控制中,能夠詳細描述判斷基準的條件、功能限制。由此,在訪問控制策略形式的訪問控制中,當接受向信息的訪問請求時,從訪問請求者獲取各種屬性信息而與判斷基準的條件進行比較,判斷是否可以打開文件,能夠進行限制于訪問控制策略中規定的功能等的控制。通常,這種技術被稱為數字權利管理(Digital Rights Management)。專利文獻I :日本特開2001-306521號公報非專利文獻I :Tim Moses、” extensible Access Control MarkupLanguage (XACML) Version 2. 0“、、、因特網〈URL:http://docs, oasis-open, org/xacml/2. 0/access_control-xacml_2· 0-core-spec-os· pdf>
技術實現思路
專利技術要解決的問題然而,獲取各種屬性信息的機構通常與訪問控制機構獨立。例如,使用者認證等也是屬性信息獲取的一部分,但是在較多的情況下,與訪問控制策略除外,使用用于決定訪問主體的認證方式的認證策略。另一方面,當前,要求屬性信息的選擇性。當例舉認證時,要求從各種認證要素、認證方式以及認證執行者中選擇屬性信息,根據實施的認證,變更訪問主體的權限。例如,有時根據訪問控制對象的資源的重要度,變更認證的方式、等級。除了與使用者的認證有關的屬性信息以外,還有時根據與對服務的連接方式、連接位置、連接時間這種環境有關的屬性信息,變更訪問主體的權限。然而,決定要獲取的屬性信息的方法通常黯然地設為已知。另外,在訪問控制的結構中,在很多情況下僅執行一次訪問決定。在該情況下,當將要獲取的屬性信息黯然地設為已知時,獲取有可能訪問決定所需的全部屬性信息,沒有效率。另外,在禁止多個認證處理的同時認證狀態的情況等、存在排他且選擇性的多個屬性信息的情況下,無法獲取非選擇的屬性信息,無法執行訪問決定。因此,在信息系統中,在存在排他且選擇性的多個屬性信息的情況下,硬直且限制性地選擇屬性信息而執行訪問決定,由此省略與非選擇的屬性信息有關的認證,執行簡化的訪問控制。然而,簡化的訪問控制還導致提高信息的泄露、損壞這種風險。本專利技術要解決的問題在于提供在存在排他且選擇性的多個屬性信息的情況下也能夠有效地實現詳細的訪問控制的訪問控制裝置以及存儲介質。用于解決問題的方案實施方式的訪問控制裝置控制向由控制對象的文檔文件或者動作執行部構成的資源的訪問。上述訪問控制裝置具備屬性管理單元、第一策略存儲單元、第二策略存儲單 元、請求接受單元、訪問事件開始單元、資源訪問單元、保留單元、決定請求生成單元、策略獲取單元、第一送出單元、訪問決定單元、第二送出單元、第三送出單元、任務執行請求單元、訪問主體認證單元、第四送出單元、指定單元、解除單元以及刪除單元。上述屬性管理單元更新存儲至少單獨包括當前日期的值和訪問主體標識符的值的多個屬性信息。上述第一策略存儲單元存儲包括禁止型策略和任務型策略的一個以上的訪問控制策略,其中,該禁止型策略預先分別描述屬性條件以及任一個屬性信息的獲取處,而在從作為上述獲取處的屬性管理單元獲取到的屬性信息滿足上述屬性條件的情況下表示允許,在不表示上述允許的情況下表示拒絕,任務型策略在表示上述允許時使用,描述了包括任務執行主體、任務行為以及下一級的訪問控制策略的指定的任務信息。上述第二策略存儲單元存儲訪問控制策略,該訪問控制策略是任一個任務信息指定的訪問控制策略,并且包括禁止型策略而不包括任務型策略,其中,禁止型策略預先描述包括資源標識符的值、行為標識符的值以及訪問主體標識符的值的屬性條件和從訪問決定請求讀出的資源標識符和行為標識符以及從上述屬性管理單元讀出的訪問主體標識符,而在讀出的該資源標識符的值、行為標識符的值以及訪問主體標識符的值與該屬性條件一致的情況下表示允許,在不表示該允許的情況下表示拒絕。上述請求接受單元接受包括表示上述資源的資源標識符的值以及表示對上述資源的訪問請求內容的行為標識符的值的訪問請求。 上述訪問事件開始單元根據接受到的該訪問請求,開始用于對上述資源進行訪問的資源訪問事件。如果沒有保留或者刪除上述開始的資源訪問事件,則上述資源訪問單元根據上述訪問請求,對上述資源進行訪問。當上述資源訪問事件開始時,上述保留單元在上述資源訪問單元的訪問之前保留上述資源訪問事件。上述決定請求生成單元在其保留過程中,從上述資源訪問單元獲取訪問請求,生成包括該訪問請求的訪問決定請求。上述策略獲取單元在生成上述訪問決定請求時,獲取預先與上述屬性管理單元內的資源標識符相關聯地指定的初級訪問控制策略或者對前級的訪問控制策略指定的下一級的訪問控制策略。上述第一送出單元送出上述生成的訪問決定請求和上述獲取到的訪問控制策略。當接受上述送出的訪問決定請求和訪問控制策略時,上述訪問決定單元通過該訪問控制策略內的禁止型策略從上述屬性管理單元獲取屬性信息,根據該屬性信息和禁止型策略來決定上述訪問的允許或者拒絕。上述第二送出單元送出訪問決定應答,該訪問決定應答以以下方式生成包括上述決定的結果,并且如果在該決定時使用的訪問控制策略內存在任務型策略則進一步包括該任務型策略。上述第三送出單元在該訪問決定應答內的決定的結果表示允許時,如果在該訪問決定應答內存在任務型策略,則送出包括該任務型策略內的任務信息的任務執行請求。上述任務執行請求單元對該任務執行請求內的任務信息所指定的任務執行主體,送出包括該任務信息內的任務行為的任務行為執行請求。作為上述任務執行主體的上述訪問主體認證單元根據該任務行為執行請求,將從訪問主體獲取到的訪問主體標識符的值和訪問主體認證信息與預先設定的訪問主體標識符的值和訪問主體認證信息進行比較,當兩者一致時,將上述訪問主體認證為合法。上述第四送出單元在上述兩者一致而認證成功時,將在上述認證時使用的訪問主體標識符的值寫入到上述屬性管理單元并且送出表示任務執行的成功的任務執行結果,在上述兩者不一致而認證失敗時,送出表示任務執行的失敗的任務執行結果。上述指定單元在該任務執行結果表示成功時,根據上述訪問決定應答內的任務型策略的任務信息,將下一級的訪問控制策略指定為上述策略獲取單元。上述解除單元在上述送出的訪問決定應答內的決定的結果表示允許時,如果在本文檔來自技高網...
【技術保護點】
【技術特征摘要】
【國外來華專利技術】...
【專利技術屬性】
技術研發人員:池田龍朗,岡田光司,保坂范和,岡本利夫,
申請(專利權)人:株式會社東芝,東芝解決方案株式會社,
類型:
國別省市:
還沒有人留言評論。發表了對其他瀏覽者有用的留言會獲得科技券。