本发明涉及访问管理方法、信息处理装置、程序及记录介质。
背景技术
在共享与个人的隐私和/或企业机密有关的数据时,为了对共享服务器的管理者施加访问限制而需要某种隐匿化。
作为对隐匿化了的数据进行利用的方法,已知有ppdm(privacypreservingdatamining,隐私保护数据挖掘)等技术(例如参照专利文献1)。
现有技术文献
专利文献
专利文献1:美国专利公开2011/0138109号说明书
技术实现要素:
技术问题
但是,在现有技术的ppdm中,对数据进行的运算的种类受到限定,进而处理的开销大。此外,期望能够对受到访问限制的数据的各个部分进行适宜访问。
因此,本发明的预定方式是鉴于上述问题而完成的,可以抑制处理负荷,并且对隐匿化了的图的各个部分进行适宜访问。
技术方案
本发明的一个方式的访问管理方法是包含控制部的计算机进行包含各节点和节点间的有向链接的图的访问管理的访问管理方法,在所述访问管理方法中,所述控制部进行以下步骤:在要访问节点n时,通过将在访问所述节点n之前已经取得的访问信息合并,来判定完全性条件成立与否,所述完全性条件表示作为能够访问所述节点n的访问信息的完全的访问信息被得到这一情形;在所述完全性条件成立的情况下,许可对所述节点n的访问;以及在所述完全性条件不成立的情况下,中止对所述节点n的访问。通过包含共享服务器的多个信息处理装置共享隐匿化了的图,将各共享服务器的上述那样的访问控制限定在该图的一部分,能够解决问题。
附图说明
图1是示出实施方式中的信息处理系统的概略构成的一例的图。
图2是示出实施方式中的信息处理装置的硬件的概略构成的一例的框图。
图3是示出实施方式中的服务器装置的功能构成的一例的框图。
图4是示出许可部的详细的构成的一例的图。
图5是示出第一实施例中的图的一例的图。
图6是示出第二实施例中的图的一例的图。
图7是示出第三实施例中的图的一例的图。
图8是示出第四实施例中的图的一例的图。
图9是示出第五实施例中的图的一例的图。
图10是示出实施方式中的服务器装置的处理的一例的流程图。
符号说明
20:信息处理装置,102:cpu,104:ram,106:rom,202:判定部,204:许可部,206:限制部,208:图编辑部,210:附加部,212:存储部。
具体实施方式
以下,参照附图详细地说明本发明的实施方式。首先,进行术语的定义。
“共享服务器”是承担用于在多个使用者之间共享数据的中继的信息处理装置。例如,云等服务器和/或个人终端可成为共享服务器。“访问”指以明文读取数据。“隐匿化”指使得为了访问数据需要非普通的操作。例如,在隐匿化中,有加密、秘密共享等。
“图”指由节点及节点间的有向链接构成的数据。各链接将起点节点与终点节点连结。节点和链接都包含某些附加的信息。以下,将各链接嵌入于其起点节点来进行说明。此外,在共享服务器中,假设各节点的内容被隐匿化。节点的内容指该节点所包含的信息。将以节点m为起点且以节点n为终点的链接称为“从m向n的链接”、或也称为“链接mn”。此外,将以节点m为起点的链接也称为“从m起的链接”,将以节点n为终点的链接也称为“至n的链接”。
“从节点可以到达的数据”指由该节点、以及从该节点沿正向追溯链接而能够到达的节点和链接构成的图。“关于数据的访问信息”指用于访问构成数据的节点和/或链接的信息。访问信息例如是下述那样的信息或它们的组合等。
·地址(文件系统内的路径、url等)
·在数据被加密的情况下,加密的方式和/或解密的密钥的信息
·在数据被秘密共享的情况下,分散数据的所在信息
·在为了访问数据需要登录的情况下,账号信息(用户id和密码等)
·在为了访问数据而使用api的情况下,api令牌
·数据的id(在数据被置于云存储器的情况下为其url等)
此外,如果能够使用某访问信息x而访问节点n,则称为x关于n是完全的。也就是说,如果访问信息x关于n是完全的,则使用x,可以进行节点n中所含的信息的浏览和/或编辑等。
此外,若将多个关于节点n的不完全的访问信息合并,则有时关于n会变为完全。例如,可考虑多个访问信息中所含的数据的连接或按位xor是对节点n中所含的信息进行解密的密钥的情况等。
“权利描述信息”指关于数据的使用者的权利的信息。例如,可考虑以下那样的权利描述信息。
·如果支付预定的价格则能够浏览数据
·能够为了预定的目的而浏览数据
·能够编辑数据
·能够向满足预定条件的他人提供数据
·如果在购物时示出数据则能够享受折扣
[实施方式]
<系统构成>
图1示出实施方式中的信息处理系统1的概略构成的一例。在图1中所示的信息处理系统1中,例如,第一信息处理装置10a、第二信息处理装置10b、第一服务器装置20a、和第二服务器装置20b经由宽带线路等有线或无线的网络n来连接。
第一信息处理装置10a例如是pc(personalcomputer,个人计算机),对数据进行处理。第二信息处理装置10b例如是智能手机,对数据进行处理。信息处理装置在不需要进行区分的情况下,使用符号10。
第一服务器装置20a例如是pc,第二服务器装置20b例如是智能手机。在以下的说明中,在不需要对2个服务器装置进行区分的情况下,使用符号20。服务器装置20实现共享服务器的作用,供第一信息处理装置10a、第二信息处理装置10b进行访问,接收并保存数据,或发送所保存的数据。服务器装置20也可以与第一信息处理装置10a及第二信息处理装置10b相同。
此外,服务器装置20存储对于图的各节点、各链接的数据。与图的各节点对应的数据例如是个人的住所姓名、病历、工作经历或购买历史,公司的内部信息,电影等运动图像数据,或书籍等文本数据等。
<硬件构成>
接着,说明信息处理装置10的硬件构成。图2是示出实施方式中的信息处理装置10的硬件的概略构成的一例的框图。
如图2所示,信息处理装置10具有cpu(centralprocessingunit,中央处理单元)102、ram(randomaccessmemory,随机存储器)104、rom(readonlymemory,只读存储器)106、驱动装置108、网络i/f110、输入装置112及显示装置114。这各构成经由总线以相互可以发送接收数据的方式连接。
cpu102在计算机中,是进行各装置的控制和/或数据的运算、处理的控制部。此外,cpu102是执行ram104或rom106中所存储的程序的运算装置。cpu102从输入装置112、网络i/f110等接收数据,并进行运算、处理,之后将运算结果输出至显示装置114、存储装置等。
ram104例如是主存储部等。ram104是对cpu102所执行的基础软件os(operatingsystem,操作系统)、应用软件等程序和/或数据进行存储或暂时保存的存储装置。
rom106例如是对与应用软件等关联的数据进行存储的存储装置。
驱动装置108从记录介质116、例如cd-rom、sd卡等读出程序,安装到存储装置。
此外,记录介质116存储预定的程序,存储到了该记录介质116的程序经由驱动装置108被安装于信息处理装置10。所安装的预定程序可以由信息处理装置10执行。
网络i/f110是具有通信功能的周边设备与信息处理装置10的接口。此外,网络i/f110例如经由通过有线和/或无线线路等数据传输路径构建的lan(localareanetwork,局域网)、wan(wideareanetwork,广域网)等网络n连接。
输入装置112具有键盘、用于在显示装置114的显示画面上进行按键的选择等的鼠标、滑动垫等,键盘具备光标键、数字输入及各种功能键等。此外,输入装置112是用于供用户向cpu102给出操作指示、或输入数据等的用户接口。
显示装置114由lcd(liquidcrystaldisplay,液晶显示器)等构成,进行与从cpu102输入的显示数据相应的显示。应予说明,输入装置112和/或显示装置114也可以设置于信息处理装置10的外部。
应予说明,在服务器装置20中,具有与图2同样的构成,还可以具有hdd(harddiskdrive,硬盘驱动器)等,另一方面,也可以不具有输入装置112和/或显示装置114。
<功能构成>
接着,说明服务器装置20的功能构成。服务器装置20对来自信息处理装置10的访问请求,判定是否许可访问等。图3是示出实施方式中的服务器装置20的功能构成的一例的框图。图3中所示的服务器装置20具备控制部200、存储部212。控制部200至少具备判定部202、许可部204、限制部206、生成部208及附加部210。
控制部200例如可通过cpu102、作为工作存储器的ram104、网络i/f110等实现。控制部200通过程序的执行,具有进行以下说明的访问管理的功能。
存储部212例如可通过ram104、rom106、hdd等实现。存储部212存储由控制部200处理后的数据,或存储从其他设备取得的使用图的保护对象的信息等。
在此,设定控制部200接收到来自信息处理装置10的访问请求。设定访问请求是请求对节点n的访问。此外,设定在节点n及到节点n的各链接中包含与从n可以到达的数据相关的访问信息。
在从节点m要访问节点n时,判定部202通过使已经进行了访问的节点和链接中所含的访问信息合并,来判定表示关于节点n完全的访问信息(不使用其他访问信息便可以访问节点n的访问信息)被得到这一情形的完全性条件成立与否。
在此,在仅用关于节点n的某访问信息便能够访问n的情况下,将前述访问信息称为关于n是完全的访问信息(第一访问信息)。此外,在仅用关于节点n的某访问信息不能访问n的情况下,将前述访问信息称为关于n是不完全的访问信息(第二访问信息)。
例如,如果关于n是完全的访问信息包含于链接mn,则判定部202判定为完全性条件成立。此外,即使链接mn中所含的访问信息关于n是不完全的,但如果将已经访问的其他链接中所含的访问信息(例如链接ln、链接km的访问信息)与链接mn中所含的访问信息合并而得的信息变成关于n是完全的访问信息,则判定部202仍然判定为完全性条件成立。在关于节点n判定完全性条件成立与否的过程中,需要检查将几个节点和链接中所含的访问信息合并而得的信息是否变为关于n是完全的访问信息,但是此时,例如通过将图构成为只要仅检查位于沿正向追溯k条以内的链接而能够到达n的范围内的节点和链接即可,判定部202能够容易地判定完全性条件。应予说明,例如,通过对链接mn附加“若与到节点n的其他链接所包含的访问信息合并,则该访问信息变为完全”这样的含义的标识信息等,则能够标识链接mn的访问信息是不完全的。此外,若设定通过将链接mn的访问信息与链接ln的访问信息合并而开始可以访问节点n,则为了访问节点n,需要首先访问节点l和节点m这双方,由此访问链接ln和链接mn。也就是说,有来自节点m和来自节点l的访问请求才开始可以进行对节点n的访问。
在关于节点n的完全性条件成立的情况下,许可部204许可对节点n的访问。例如,如果链接mn中所含的访问信息关于n是完全的,则许可部204许可对节点n的访问。若访问被许可,则能够以明文的形式浏览节点n的内容等。
在关于节点n的完全性条件不成立的情况下,限制部206中止对节点n的访问。
由此,通过在节点和链接中适宜包含访问信息,可以将受到访问限制的图区分为能够访问的部分和不能访问的部分,对图的各个部分进行适宜访问。
在此,使用图4说明许可部204的详细的构成。图4示出许可部204的详细的构成的一例。许可部204包括生成部2042、译解部2044及使用限制部2046。生成部2042根据多个不完全的访问信息生成完全的访问信息。例如,生成部2042通过多个访问信息的按位xor,来生成对节点的内容进行解密的密钥。
译解部2044使用所生成的完全的访问信息,来解除节点的内容的隐匿化。例如,译解部2044能够根据1个以上的访问信息而生成关于节点n的完全的访问信息(完全性条件成立),并使用该完全的访问信息来解除节点n的内容的隐匿化。
此外,生成部2042基于1个或多个访问信息而生成一个访问信息。例如,在完全的访问信息是多个不完全的访问信息的连接或按位xor的情况下,生成部2042集合这些多个不完全的访问信息,来生成完全的访问信息。
许可部204许可使用所生成的完全的访问信息来访问节点。由此,由于能够只要得不到完全的访问信息就将节点中所含的信息隐匿,所以能够使节点中所含的信息的隐匿性提高。
当在已经访问的数据中包含关于数据使用者的权利的权利描述信息的情况下,使用限制部2046基于该权利描述信息来限制节点的内容的使用。例如,使用限制部2046限制浏览、编辑等的使用。由此,不仅许可对节点的内容的访问,还能够施加对内容的使用限制。
返回到图3,图编辑部208例如生成节点o,并根据节点n生成到节点o的链接no。
附加部210将关于从节点o可以到达的数据的访问信息附加于链接no。由此,能够适宜对图进行增补。
此外,图编辑部208也可以删除图内的节点和/或链接。
<第一实施例>
接着,说明上述的实施方式的第一实施例。例如,在第一实施例中,控制部200进行以下的访问管理。
图5示出第一实施例中的图的一例。在图5所示的图中,虚线的链接中所含的访问信息关于其终点是不完全的。也就是说,仅用该访问信息,无法访问终点的数据。此外,假定实线的链接中所含的访问信息若与自其终点起的虚线的链接中所含的访问信息合并,则变为关于虚线的链接的终点的完全的访问信息。
也就是说,不能连续地追溯2条虚线的链接。例如,在关于节点a的完全的访问信息被提供给了使用者a时,首先,使用者a访问节点a,接着追溯实线的链接ac而访问节点c。此后,使用者a能够进一步使用将链接ac中所含的访问信息与链接cf中所含的访问信息合并而得的访问信息来访问节点f(能够读取节点f的内容)。这些访问管理由控制部200进行。
此外,使用者a能够使用将链接ac中所含的访问信息与链接cg中所含的访问信息合并而得到的访问信息,来访问节点g。此外,如果与链接ae中所含的访问信息合并而变成关于e是完全的访问信息被提供给使用者a,则使用者a能够追溯链接ae而访问节点e。另一方面,由于链接ed中所含的访问信息关于节点d是不完全的,并且没有对其进行补充的访问信息,所以无法访问节点d(无法读取节点d的内容)。
此外,使用者在被提供了与关于节点b的完全的访问信息及链接bc中所含的访问信息合并而变成关于节点c是完全的访问信息的情况下,能够从节点b访问节点c,但是无法从节点c访问节点f及节点g。此外,使用者能够从节点b访问节点d、节点g及节点e。
为了在没有节点c、从节点c起的链接和至节点c的链接的状態下制作出节点c、从节点c起的链接和至节点c的链接,图编辑部208按照以下的步骤。
1.制作节点c。
2.制作包含关于节点c的不完全的访问信息的链接bc。
3.制作包含关于节点f的不完全的访问信息的链接cf。
4.制作包含关于节点g的不完全的访问信息的链接cg。
5.制作链接ac,该链接ac包含若与链接cf中所含的访问信息合并则变成关于节点f是完全的,若与链接cg中所含的访问信息合并则变成关于节点g是完全的,且关于节点c是完全的访问信息。
在从某节点起的链接有多条时,关于各链接的终点的不完全的访问信息有时通过与某共同的访问信息合并而变为完全的访问信息。在该情况下,用于将不完全的访问信息合并而得到完全的访问信息、或求出链接中所含的不完全的访问信息等的处理变得简单。
例如,在上述的例子中,考虑链接ac、链接cf和链接cg分别包含数据x、y、z作为访问信息的一部分且x与y的按位xor是f的密钥、x与z的按位xor是g的密钥的情形。
其中,x是链接ac所包含的关于节点f和节点g的不完全的访问信息。y是链接cf所包含的关于节点f的不完全的访问信息。z是链接cg所包含的关于节点g的不完全的访问信息,y和z通过与共同的访问信息x分别合并而成为关于节点f和g的完全的访问信息。
<第二实施例>
接着,说明上述的实施方式的第二实施例。例如,在第二实施例中,控制部200进行以下的访问管理。此外,假定各节点中所含的信息使用该节点的1个或多个链接中所含的访问信息而被隐匿化。
设定在a公司包括b部和c部,b部包括d课和e课,c部包括f课和g课的情况下,生成由与a公司、b部、c部、d课、e课、f课、g课分别对应的节点a、b、c、d、e、f、g构成的图。
图6示出第二实施例中的图的一例。在图6所示的例子中,假定各链接包含关于其终点的完全的访问信息。在该情况下,通过将对于各课的节点的访问信息提供给该课的成员,例如d课的各成员能够仅访问节点a、b、d。
也就是说,如果能够将各节点所表示的部门中共享的信息包含于该节点,则各职员能够仅访问自身所属的部门内共享的信息。由此,如果将企业的数据隐匿化而置于外部的服务器,则能够在使服务器的管理者不会得知数据的内容的状态下,在公司内的各部门共享数据的各个部分。
<第三实施例>
接着,说明上述的实施方式的第三实施例。例如,在第三实施例中,控制部200进行以下的访问管理。
图7示出第三实施例中的图的一例。在图7所示的例子中,设定图的节点a和节点b是相册,节点c和节点d包含照片数据。此外,虚线的链接包含其终点节点的照片数据仅可以显示的含义的权利描述信息,实线的节点包含怎样使用其终点节点的照片数据都可以的含义的权利描述信息。此外,设定任一链接都包含关于其终点的完全的访问信息。
在该情况下,被提供了关于节点a的完全的访问信息的使用者在使用信息处理装置10向服务器装置20发出访问请求的情况下,可以查看节点c和节点d的照片数据,但是被要求遵守不得以明文数据保存或向外部发送等这样的条件。
另一方面,被提供了关于节点b的完全的访问信息的使用者,在使用信息处理装置10发出访问请求的情况下,关于节点c和节点d的照片数据的使用不会被施加限制。
<第四实施例>
接着,说明上述的实施方式的第四实施例。例如,在第四实施例中,控制部200进行以下的访问管理。
图8示出第四实施例中的图的一例。在图8所示的例子中,实线的链接包含关于其终点的完全的访问信息。另一方面,设定虚线的链接所包含的访问信息关于其终点n是不完全的,且如果与到其起点的虚线的链接所包含的访问信息合并则变成关于n是完全的。
因此,使用者如果能够访问虚线的链接,便能够访问从其终点起的虚线的链接的终点。此外,节点a对应于某服务的管理者,节点b和节点c对应于客户组的信息,节点d和节点g分别对应于负责与节点b和节点c相应的客户组的职员的信息,节点e和节点f对应于属于与节点b相应的客户组的客户的信息,节点h和节点i对应于属于与节点c相应的客户组的客户的信息。
设定每个人被提供关于与本人对应的节点的完全的访问信息、和若与从该节点起的虚线链接所包含的访问信息合并则变成关于该虚线链接的终点是完全的那样的访问信息。
在该情况下,可以在该图中向下连续追溯链接,向上连续追溯链接,在向下追溯之后向上追溯链接。但是,不可以在向上追溯之后向下追溯链接。
例如,由于管理者被提供关于节点a的访问信息以及关于节点b和节点c的补全的访问信息,所以管理者能够访问全部节点的信息。
此外,各职员能够仅访问自身所负责的客户组的信息、属于该客户组的客户的信息和管理者的信息。例如,能够从节点d起追溯虚线的链接而访问节点b,从节点b进而访问节点a、e、f,但是无法经由节点a访问节点c。
进而,各客户能够仅访问负责自身所属的组的职员的信息和管理者的信息。例如,能够从节点e追溯实线的链接而访问节点b,从节点b进而追溯实线的链接而能够访问节点a和节点d。另一方面,无法从节点b追溯虚线的链接而访问节点f,或无法从节点a追溯虚线的链接而访问节点c。
<第五实施例>
接着,说明上述的实施方式的第五实施例。例如,在第五实施例中,控制部200进行以下的访问管理。
图9示出第五实施例中的图的一例。在图9中,示出不使用不完全的访问信息而实现图8所示的图中的访问控制的方法。如图9所示的虚线的虚拟的节点a、b、d所示,图8所示的图的节点a、b、d分别对应于图9所示的图的由节点a0和a1构成的部分图、由b0和b1构成的部分图、由d0和d1构成的部分图。
在图8所示的图中,从节点a0和d0能够访问其他全部的节点,从节点e和从节点f能够仅访问节点b1、a1、d1。这对应于在图8所示的图中,从节点a能够访问节点b、d、e、f,从节点d能够访问节点b、a、e、f,从节点e和节点f仅能够访问节点b、a、d。
在此,考虑经常有时在刚刚访问了节点a0、b0、d0之后分别访问节点a1、b1、d1。因此,对虚拟节点a、b、d,只要通过1次的与共享服务器的通信来进行其各自的内容的读出和写入即可。例如,期望通过将各虚拟节点分别形成为1个文件、或数据库的1个记录,来提高处理(与共享服务器的数据的交换)的效率。因此,通过将由经常大致同时地被访问的多个节点构成的部分图形成为1个文件或1个记录,能够提高处理的效率。
<工作>
接着,说明服务器装置20的工作。图9是示出实施方式中的服务器装置20的处理的一例的流程图。图9所示的处理是例如在使用者使用访问信息进行了从节点到节点的访问请求的情况下,由服务器装置20执行的处理。
在步骤s102,控制部200设定起点节点。
在步骤s104,判定部202获取被提供给了使用者的访问信息。
在步骤s106,判定部202使用该访问信息,判定关于起点节点的完全性条件成立(可以访问)与否。如果可以访问(步骤s106-是),则处理前进至步骤s108,如果不可以访问(步骤s106-否),则处理通过限制部206中止访问而结束。
在步骤s108,许可部204许可对终点节点(下一节点)的访问。
以上,根据实施方式,能够抑制处理负荷,并且对隐匿化了的图的各个部分进行适宜访问。
此外,在图的各节点n及到节点n的各链接中包含关于从节点n可以到达的数据的访问信息,将节点n隐匿化。由此,关于各节点n,能够使用关于从n可以到达的数据的访问信息来访问从n可以到达的数据。
也就是说,通过反复进行在被提供了关于节点的完全的访问信息时按照该访问信息访问该节点而得到关于从该节点起的链接的终点的访问信息这样的处理,能够通过访问与反复的次数相同个数的节点来达到上述效果。
例如,在得到了关于节点a的完全的访问信息时,若访问节点a,并进而追溯链接ab、链接bc和链接cd,则可以访问节点b、节点c和节点d。同样地,在得到了关于节点a的完全的访问信息时,若访问节点a,并进而追溯链接ab、链接ac和链接ad,则可以访问节点b、节点c和节点d。在此,为了简单,设定任一链接中都包含关于其终点的完全的访问信息。
应予说明,对于由上述的信息处理装置10执行的程序,通过cpu102从rom106读出并执行该程序,上述各个部分中的1个或多个部分被加载到ram104上,在ram104上生成1个或多个部分。
这样,在上述的实施方式中说明的处理可以作为用于使计算机执行的程序而实现。通过从服务器等安装该程序并使计算机执行该程序,能够实现前述的处理。
此外,将该程序记录于记录介质116,并使计算机读取记录了该程序的记录介质116,也可以实现前述的处理。
应予说明,记录介质116能够使用如cd-rom、软盘、光磁盘等这样光学性、电性或磁性地记录信息的记录介质,rom、闪存等这样电性地记录信息的半导体存储器等各种类型的记录介质。
以上,详细描述了各实施例,但是并不限定于上述实施例,在权利要求所记载的范围内,可以在除上述实施例以外进行各种变形及更改。