访问控制表转换系统及其方法和程序的制作方法

文档序号:6348618阅读:144来源:国知局
导航: X技术> 最新专利>计算;推算;计数设备的制造及其应用技术
专利名称:访问控制表转换系统及其方法和程序的制作方法
技术领域
本发明涉及生成对描述次序没有限制的访问控制表转换系统、访问控制表转换方法,以及访问控制表转换程序。
背景技术
关于表现为访问控制表的策略的分配,一个集成访问控制服务器在多个控制目标机器上执行访问控制变得越发平常。因此,当变更策略时,需要校正访问控制表,因此,存在提高访问控制表的可维护性的需求。一般而言,访问控制表被配置,以便包括一个或多个访问控制规则,每个访问控制规则包括如下的集合要被访问的访问目标资源、访问访问目标资源的访问动作者用户、以及允许或禁止访问动作者用户对访问目标资源的访问的访问权利。在利用访问控制表来执行访问控制的访问控制机制中,对访问控制表的解释依赖于访问控制规则在访问控制表中被描述的次序而变化。因此,即便当访问控制规则具有相同的内容时,整个访问控制表的控制内容依赖于描述次序而不同。在访问控制机制中,并不确保访问控制表以变更访问控制表的人所意欲的方式被解释。需要根据访问控制机制的解释特点来针对每个访问控制机制作出具有相同访问控制内容的访问控制表,这损害可维护性。专利文献1公开了一种技术,该技术自动给出标识符,并且,能够自动检测相矛盾的规则和冗余规则,并且,能够基于给定的标识符利用预定表达来从ACL抽取相矛盾的部分。引用表专利文献专利文献1JP-A-2005-182478

发明内容
技术问题但是,在专利文献1中所公开的发明可检查ACL,使得在ACL中的两个规则不彼此相矛盾,但是,具有当变更访问控制策略时在校正访问控制表中带来大量花销的问题。原因如下。在访问控制表中,对访问控制规则的描述次序是很重要的,并且,对访问控制表的解释依赖于描述次序而变化。因此,当变更访问控制表时,需要考虑访问控制表的描述次序以及对访问控制规则的添加或删除。一般而言,访问控制表包括多个访问控制规则,每个访问控制规则是访问动作者用户、访问目标资源和允许或禁止访问的访问权利的集。当在控制内容中的规则彼此相矛盾时,对访问控制表的解释依赖于在一般访问控制机制中的描述次序而变化。即便当在访问控制表中的规则具有相同的控制内容时,每个访问控制表的控制内容依赖于对规则的描述次序而变化。因此,并不比确保访问控制表以变更该访问控制表的人在访问控制机制中所意欲的方式被解释。例如,关于描述了 “(规则1)任意用户不得读取并写入在目录/etc下的问及那” 的访问控制表,当在规则1之后添加了诸如“(规则2)用户“Yamada”可变更文件/etc/ passwd”的规则2以便给用户“Yamada”某种权利时,访问控制机制抑制用户“Yamada”变更文件/etc/passwd。原因是访问控制机制具有优先处理首先被满足的条件的解释特点,并且,规则1被首先满足以访问请求。为了精确地反映权利,至少需要在规则1之前优先描述规则2。如此,访问控制机制的操作依赖于对访问控制规则的描述次序而变化的特点使得合适地变更访问控制表变得很难,验证在当前的访问控制表下哪个用户可访问哪个资源或哪个用户不可访问哪个资源也变得很难。随着在访问控制表中的规则数量的增加,变更访问控制表所带来的问题变得更加严重,并且,其已成为访问权设置中的缺陷的原因。第二个问题是需要针对每个访问控制机制来生成访问控制表。原因如下。当访问控制被多个各种访问控制机制所执行时,针对具有不同特点的访问控制机制中的每一个生成带有相同访问控制内容的访问控制策略是必要的,该特点诸如访问控制规则从在访问控制表的顶部被描述的访问控制规则以降序被处理,以及访问控制规则以任意次序被处理的另一特点。在呈现了多个各种访问控制目标机器的本情况中, 当新的访问控制策略被建立时或当现有的访问控制策略被变更时,需要根据访问控制机制的每个特点来生成或校正访问控制表。出于这种原因,发明的示例性目的是提供对描述次序无限制地生成访问控制表的访问控制表转换系统、访问控制表转换方法,以及访问控制表转换程序。对问题的解决方案根据发明的第一示例性方面,提供了一种访问控制表转换系统,包括读取单元, 该读取单元被提供有包括至少一个访问控制规则的访问控制表,该访问控制规则是要被访问的访问目标资源、访问访问目标资源的访问动作者用户、以及定义允许还是禁止访问动作者用户对访问目标资源的访问的访问权利的集,并且,该读取单元读取在访问控制表中所描述的访问控制规则;第一规则判定(确定)单元,该第一规则判定(确定)单元判定所读取的访问控制规则是允许访问动作者用户对访问目标资源的访问的允许规则,还是禁止访问动作者用户对访问目标资源的访问的禁止规则;存储单元,该存储单元存储通过第一规则判定单元被判定为允许规则的访问控制规则;第二规则判定(确定)单元,该第二规则判定(确定)单元判定被判定为禁止规则的访问控制规则的访问动作者用户是否与存储在存储单元中的访问控制规则的访问动作者用户相同,并且,判定被判定为禁止规则的访问控制规则的访问目标资源是否包括存储在存储单元中的访问控制规则的访问目标资源;数据库,该数据库存储资源信息,其中,访问目标资源的所有最新信息被系统地从高级概念到低级概念记录;以及资源扩展单元,该资源扩展单元通过参照资源信息,从通过第二规则判定单元被判定为具有与存储在存储单元中的访问控制规则相同的访问动作者用户并包括存储在存储单元中的访问控制规则的访问目标资源的访问控制规则的访问目标资源中移除在存储在存储单元中的访问控制规则中所描述的访问目标资源。
根据发明的第一示例性方面,提供了一种访问控制表转换方法,包括接收包括至少一个访问控制规则的访问控制表,该访问控制规则是要被访问的访问目标资源、访问访问目标资源的访问动作者用户、以及定义允许还是禁止访问动作者用户对访问目标资源的访问的访问权利的集,读取在访问控制表中所描述的访问控制规则,并且,判定所读取的访问控制规则是允许访问动作者用户对访问目标资源的访问的允许规则,还是禁止访问动作者用户对访问目标资源的访问的禁止规则的第一规则判定步骤;存储通过第一规则判定步骤被判定为允许规则的访问控制规则的存储步骤;判定被判定为禁止规则的访问控制规则的访问动作者用户是否与在存储步骤中存储的访问控制规则的访问动作者用户相同,并且,判定被判定为禁止规则的访问控制规则的访问目标资源是否包括在存储步骤中存储的访问控制规则的访问目标资源的第二规则判定步骤;存储资源信息,其中,访问目标资源的所有最新信息被系统地从高级概念到低级概念记录在数据库中,以及通过参照资源信息, 从通过第二规则判定步骤被判定为具有与在存储步骤中存储的访问控制规则相同的访问动作者用户并包括在存储步骤中存储的访问控制规则的访问目标资源的访问控制规则的访问目标资源中移除在存储步骤中存储的访问控制规则中所描述的访问目标资源的资源扩展步骤。另外,根据发明的第一示例性方面,提供了一种允许计算机执行如下的访问控制表转换程序接收包括至少一个访问控制规则的访问控制表,该访问控制规则是要被访问的访问目标资源、访问访问目标资源的访问动作者用户、以及定义允许还是禁止访问动作者用户对访问目标资源的访问的访问权利的集的处理;读取在访问控制表中所描述的访问控制规则的读取处理;判定所读取的访问控制规则是允许访问动作者用户对访问目标资源的访问的允许规则,还是禁止访问动作者用户对访问目标资源的访问的禁止规则的第一规则判定处理;存储在第一规则判定处理中被判定为允许规则的访问控制规则的存储步骤; 判定被判定为禁止规则的访问控制规则的访问动作者用户是否与存储在存储处理中的访问控制规则的访问动作者用户相同,并且,判定被判定为禁止规则的访问控制规则的访问目标资源是否包括存储在存储处理中的访问控制规则的访问目标资源的第二规则判定处理;存储资源信息处理,其中,访问目标资源的所有最新信息被系统地从高级概念到低级概念记录在数据库中;通过参照资源信息,从在第二规则判定处理中被判定为具有与存储在存储处理中的访问控制规则相同的访问动作者用户并包括存储在存储处理中的访问控制规则的访问目标资源的访问控制规则的访问目标资源中移除在存储在存储处理中的访问控制规则中所描述的访问目标资源的资源扩展处理。发明的优势效果根据生成访问控制表的本发明的示例性实施例的访问控制表转换系统、访问控制表转换方法和访问控制表转换程序,包括在已存在的允许规则中的访问目标资源被从与已存在允许规则具有包含关系的新禁止规则中移除。通过这种方式,可以提供对描述次序无限制地生成访问控制表的访问控制表转换系统、访问控制表转换方法和访问控制表转换程序。


图1是示出了根据发明的第一实施例的访问控制表生成/转换系统的结构的示例的框图。图2是示出了根据发明的第一个实施例的访问控制表生成/转换算法的流程图。图3是示出了根据发明的第二实施例的访问控制表差异分配系统的结构的示例的框图。图4是示出了根据发明的第三实施例的访问控制表差异分配一致性确保系统的结构的示例的框图。图5是示出了根据发明的第五实施例的访问控制表生成/转换/分配系统的框图。图6是示出了典型的顶部优先的访问控制表的示图。图7是示出了访问目标资源的结构的示图。图8示出了访问控制表,其中,在已转换的访问控制规则的描述次序中不存在限制。图9示出了策略分配/设置协议。图10示出了基于SOAP的策略设置预备询问消息。图11示出了基于SOAP的策略设置命令消息。图12是示出了根据发明的第四实施例的访问控制表参考类型的访问控制表生成 /转换系统的结构的示例的框图。图13是示出了根据发明的第六实施例的访问控制表参考类型的不同分配系统的框图。图14示出了在策略变更后的访问控制表。图15示出了在不同分配中的所添加的访问控制表。图16示出了在不同分配中的所删除的访问控制表。图17示出了基于SOAP的ACL枚举请求消息。图18示出了基于SOAP的ACL获取请求消息。
具体实施例方式以下,将参照附图来详细描述发明的示例性实施例。第一实施例图1是示出了根据发明的第一实施例的访问控制表生成/转换系统的结构的示例的框图。参照图1,发明的第一实施例包括ACL转换单元101和资源数据库102。资源数据库102系统地存储将要被访问控制表(ACL)所控制的资源的所有最新信息(从高级概念到低级概念)。在发明中,访问控制表被配置,以便包括一个或多个访问控制规则,每个访问控制规则是如下的集要被访问的访问目标资源、访问访问目标资源的访问动作者用户、以及定义了是允许还是禁止访问动作者用户对访问目标资源的访问的访问权利。“访问动作者用户”例如是能够指定访问资源的用户(诸如,“Yamada”)的信息。“访问动作者用户”可以是用于识别用户的名字或用于识别用户的代码。访问目标资源通过集或元素来表示。符号“*”是代表“直接在其下”的所设置的记法,而符号“**”是代表“其下所有”的所设置的记法。ACL转换单元101包括已有规则判定(确定)单元11、第一规则判定(确定)单元12、第二规则判定(确定)单元13、资源扩展单元14,以及临时存储单元15。临时存储单元15包括允许规则存储单元16和禁止规则存储单元17,该允许规则存储单元存储用于允许访问动作者用户对访问目标资源的访问的允许规则,该禁止规则存储单元存储用于禁止访问动作者用户对访问目标资源的访问的禁止规则。已有规则判定单元11是以在访问控制表中所描述的次序顺序逐个地读取访问控制规则的读取单元。已有规则判定单元11通过参照临时存储单元15来判定所读取的新访问控制规则是否被包括在访问控制表中排序在所读取的新访问控制规则之前的已有规则的访问控制中。当新规则被包括在已有规则的访问控制内容中,集,当所读取的访问控制规则是存储在临时存储单元15中的访问控制规则时,已有规则判定单元11从访问控制表读取新的访问控制规则。当新规则未被包括在已有规则的访问控制内容中时,第一规则判定单元12判定该规则是允许规则还是禁止规则。当新规则是允许规则时,该规则被存储在允许规则存储单元16中,并且,返回到已有规则判定单元11。当新规则是禁止规则时,第二规则判定单元13判定新规则的访问动作者用户是否与存储在允许规则存储单元16中的规则的访问动作者用户相同,以及访问目标资源是否被包括在该规则的访问目标资源中,即,参考临时存储单元15来判定新规则是否与存储在允许规则存储单元16中的规则相矛盾。当新规则不与存储在允许规则存储单元16中的规则相矛盾时,即,当访问动作者用户不同于存储在临时存储单元15中的访问控制规则的访问动作者用户时,或当该规则的访问目标资源未包括存储在临时存储单元15中的访问控制规则的访问目标资源时,该规则被存储在禁止规则存储单元17中,并且,返回到已有规则判定单元11。资源扩展单元14利用资源数据库102抽取与存储在允许规则存储单元16中的规则相矛盾的规则的访问目标资源,并将其扩展至与存储在允许规则存储单元16中的访问目标资源相同的低级概念等级,用在规则之间彼此不重叠的低级概念的访问目标资源来重写访问控制规则,以及将访问控制规则存储在禁止规则存储单元17中。当该规则不是在访问控制表中的最后一个规则时,其返回到已有规则判定单元11。第一个实施例的操作接下来,将参照图1和图2来详细说明该实施例的操作。图2是示出了根据发明的第一实施例的访问控制表生成/转换算法的流程图。输入访问控制表被提供到在图1中所示的已有规则判定单元11。已有规则判定单元11以在输入访问控制表中所描述的次序逐个地读取访问控制规则。另外,已有规则判定单元11通过参照存储在临时存储单元15中的规则来判定所读取的规则是否被包括在在输入访问控制表中排序在所读取规则之前的已存在访问控制规则中(图2的步骤Al和A2)。当所读取的规则未被包括在存储在临时存储单元15中的规则中时,所读取的规则被提供到第一规则判定单元12。当所读取的规则被包括在存储在临时存储单元15中的规则中时,在输入访问控制表中的下一个访问控制规则被读取,并且,如上述的处理被再次执行,直到规则达到访问控制表的末尾为止。
一个规则包括另一规则意味着在两个规则中,访问动作者和允许或禁止访问的访问权利是相同的,并且,一个规则的访问目标资源是包括该一个规则的另一规则的访问目标资源的子集。因此,上述“排名更高的已存在访问控制规则”意味着包括一个规则的另一规则。即,当一个规则被包括在另一规则中时,在两个规则中的访问动作者和允许或禁止访问的访问权利是相同的,并且,另一规则的访问目标资源包括一个规则的访问目标资源, 即,另一规则是一个规则的高级概念。另一规则已被存储在临时存储单元15中。在图1中所示的第一规则判定单元12判定所读取的规则是否是允许规则(图2 中的步骤A3)。当所读取的规则不是允许规则时,即,当所读取的规则是禁止规则时,该规则被提供给第二规则判定单元13。当所读取的规则是允许规则时,该规则被存储在允许规则存储单元16中(图2中的步骤A5)。在图1中所示的第二规则判定单元13通过参照临时存储单元15来判定在所读取的规则中所描述的访问动作者用户是否与存储在允许规则存储单元16中的允许规则的访问动作者用户相同,以及判定在所读取的规则中所描述的访问目标资源是否包括在存储在允许规则存储单元16中的允许规则中所描述的访问目标资源(图2中的步骤A4)。当在所读取的规则中所描述的访问目标资源不包括在允许规则中所描述的访问目标资源时,所读取的规则被存储在禁止规则存储单元17中并不做更改。当在所读取的规则中所描述的访问目标资源包括在允许规则中所描述的访问目标资源时,该规则被提供给资源扩展单元 14。在图1中所示的资源扩展单元14将在所读取规则中所描述的访问目标资源扩展到某深度,该深度能够代表访问目标资源的集火元素,该访问目标资源被在存储在允许规则存储单元16中的允许规则中描述并被包括在所读取的规则,即,将其扩展至如存储在允许规则存储单元16中的访问控制规则的访问目标资源一样的低级概念等级(图2的步骤 A6)。具有相同深度的资源意味着资源具有相同表达层级的而不具有相同的子集。在允许规则中所描述的资源被从被扩展至在允许规则中所描述的资源被扩展到的相同深度的规则的资源中移除,然后,该规则被存储在禁止规则存储单元17中(图2中的步骤A7和A8)。作为最终的输出,存储在禁止规则存储单元17中的规则群组被作为访问控制表输出。在该实施例中,使用了用于对描述次序无限制的以黑名单形式存在的访问控制表执行转换的方法。但是,可交换允许和禁止,以对描述次序无限制的具有白名单形式的允许规则的访问控制表执行转换。在黑名单形式中,允许对未描述将要生成的访问控制表的默认访问控制条件的资源的访问。在白名单形式中,禁止对未描述默认访问控制条件的资源的访问。在白名单形式的输出中,第二规则判定单元13判定通过第一规则判定单元12被判定为允许规则的访问控制规则的访问动作者用户是否与访问控制规则(其为存储在临时存储单元15中的禁止规则)的访问动作者用户相同,以及判定被判定为允许规则的访问控制规则的访问目标资源是否包括访问控制规则(其为存储在临时存储单元15中的禁止规则)的访问目标资源。临时存储单元15还包括禁止规则存储单元17 (其存储通过第一规则判定单元12被判定为禁止规则的访问控制规则)和允许规则存储单元(其存储通过第一规则判定单元 12被判定为允许规则的访问控制规则),通过第二规则判定单元13判定为具有与存储在临时存储单元15中的访问控制规则相同的访问动作者用户并未包括存储在临时存储单元15 中的访问控制规则的访问目标资源的访问控制规则,以及在存储在临时存储单元15中的访问控制规则中所描述的访问目标资源通过资源扩展单元14以白名单形式的输出被从中移除的访问控制规则。第二实施例接下来,将参照图来详细描述根据发明的另一实施例的访问控制表差异分配系统。在该实施例中,访问控制表(ACL)被广泛地管理,访问控制表针对已更新的策略被更新,并且,访问控制表在更新前后的差异被分配给每个控制目标机器。参照图3,该实施例包括集成访问控制服务器100和控制目标机器200。图3是示出了根据发明的第二实施例的访问控制表差异分配系统的结构的示例的框图。集成访问控制服务器100包括策略数据库106、资源数据库102、ACL数据库107、 ACL生成单元103、ACL转换单元101、差异抽取单元104,以及分配单元105。策略数据库 106存储具有此处所描述的访问控制信息的策略,而ACL数据库107存储之前生成并分配的 ACL。控制目标机器200包括设置单元201、合并单元202和接收单元203。在集成访问控制服务器100中,策略数据库106将策略(其为已更新的分配目标的访问控制信息)提供给ACL生成单元103。ACL生成单元103生成ACL,其中,每个通过 (访问动作者用户、访问目标资源和允许或禁止访问的权利)所代表的访问控制规则从所提供的策略被以优先级降序的次序描述。在该情形中,执行访问控制的用户被描述为访问动作者用户,访问受控的资源被描述为访问目标资源,而授予用户的访问权利被描述为允许或禁止访问的权利。所生成的ACL被提供给ACL转换单元101,并且,ACL转换单元101通过利用资源数据库102的资源信息将所接收的ACL转换成对描述次序无限制的ACL。利用资源数据库 102和ACL转换单元101来生成对描述次序无限制的ACL的处理与在图1中所示的第一实施例中的处理相同。差异抽取单元104比较在每个访问控制规则中的访问目标资源和允许或禁止访问的权利的字符串,该访问控制规则包括分别描述在通过ACL转换单元101转换的对次序没有限制的ACL中的相同的访问动作者用户以及存储在ACL数据库107中的更新之前的 ACL,并且,差异抽取单元抽取描述在更新前的ACL中但未描述在新近转换的ACL中的访问控制规则和未描述在更新前的ACL中但描述在新近转换的ACL中的访问控制规则作为差异 fn息ο差异信息仅包括未包括在更新前的ACL中但包括在新近转换的ACL中的访问控制规则集,或包括在更新前的ACL中但未包括在新近转换的ACL中的访问控制规则集,并且, 不包括描述次序信息。已抽取的差异信息被提供给分配单元105,然后,被分配到控制目标机器200。在控制目标机器200中,接收单元203接收通过集成访问控制服务器100的分配单元105所分配的差异信息,并且,将所接收的差异信息提供给合并单元202。合并单元202 基于差异信息将所添加的访问控制规则添加到更新前的当前所应用的控制表,并且,从中移除所删除的访问控制规则以获得已更新的访问控制表。已合并的访问控制表被提供给设置单元201,并且,设置单元201将访问控制表提供给控制目标机器。在该实施例中,作为差异信息,仅访问控制规则的所添加的信息和所删除的信息可被分配,从而生成已更新的访问控制表。由于用于更新所需的信息对次序无限制,因此, 可以减少在集成访问控制服务器和控制目标机器之间的通信量。另外,不必考虑描述次序来重建访问控制表。因此,可减少由控制目标机器所使用的用以更新访问控制表的资源量。第三实施例接下来,将参照图来详细描述根据发明的另一实施例的访问控制表一致性确保差异分配系统。在该实施例中,描述了确保在访问控制表之间的差异的分配的一致性的示例。图 4是示出了根据发明的第三实施例的访问控制表差异分配一致性确保系统的结构示例的框图。参照图4,在该实施例中,集成访问控制服务器100 ’还包括签名单元108和控制目标机器200’,与第二实施例相比,还包括签名验证单元204。在集成访问控制服务器100’中,通过差异抽取单元104所抽取的差异信息被提供到签名单元108。签名单元108将数字签名好存储在集成访问控制服务器100’中的私钥添加到所提供的差异信息中,并且,利用诸如RSA签名机制之类的预定签名机制来指示常规的集成访问控制服务器。分配单元105将添加了签名的访问控制表的差异信息分配到控制目标机器200’。
在控制目标机器200’中,接收单元203接收添加了签名的差异信息,并且,将差异信息提供给合并单元202。合并单元202利用签名验证单元204用存储在控制目标机器中并被常规的集成访问控制服务器发布的公钥来验证添加到所提供的差异信息中的签名。当确保了差异信息的有效性时,合并单元202将所添加的访问控制规则添加到更新前当前所应用的访问控制表中,并且,从中移除所删除的访问控制规则。已合并的访问控制表通过设置单元201被应用于控制目标机器。在该实施例中,不存在对访问控制规则被描述的次序的限制。因此,当差异信息 (其为访问控制规则集)的有效性被确保时,通过合并差异信息和更新前的访问控制表所获得的已更新的访问控制表的有效性被确保。第四实施例接下来,将参照图来详细描述一个系统,其中,根据发明的另一实施例的集成访问控制服务器仅有一个策略(其为访问控制表的源),从而执行访问控制。在该实施例中,描述了一个示例,其中,集成访问控制服务器仅管理公共的策略, 并且,执行访问控制而无需在每个控制目标机器上存储访问控制机制所要求的访问控制表。图12是示出了根据发明的第四实施例的访问控制表参考类型的访问控制表生成/转换系统的结构示例的框图。参照图12,在该实施例中,在集成访问控制服务器100”中并不需要ACL数据库 107,并且,集成访问控制服务器100”包括ACL询问单元109和差异抽取单元104’,该差异
16抽取单元具有将信息发送到ACL询问单元的信息发送单元。控制目标机器200”还包括ACL 控制单元205和ACL数据库206。差异抽取单元104,通过利用ACL询问单元109来询问控制目标机器200”的当前所设置的ACL,以便获得通过集成访问控制服务器100”的ACL转换单元101所获得的ACL 和设置到控制目标机器200”的ACL之间的差异信息。ACL询问单元109询问当前所设置的ACL或控制目标机器200”的ACL控制单元 205的所分配的ACL。然后,ACL控制单元205基于在ACL数据库204中所存储的信息来响应询问。通过ACL询问109从ACL控制单元205所获得的信息被添加到当前所设置的ACL。 通过这种方式,可以获得ACL的元信息,诸如,ACL ID或ACL修订,以及ACL何时被设置或分配。与发送ACL的结构相比,元信息的交换使得可以减少发送花销。例如,元信息包括 ACL的哈希值,并且,通过对次序无限制地分类ACL所获得的哈希值被交换。通过这种方式, 可以检测在通过ACL转换单元所获得的ACL和当前所设置的ACL之间是否存在差异,从而减少抽取差异的花销。在该实施例中,集成访问控制服务器无需存储每个控制目标机器的ACL,并且,可仅管理公共政策以用于执行访问控制。因此,可以减少集成访问控制服务器的管理和操作花销。另外,对访问控制机制的访问控制所需的信息(诸如,设置到控制目标机器的信息) 被使用,这使得集成访问控制服务器可以浏览并使用实时的访问控制信息。第五实施例接下来,将参照图来详细描述示例性实施例。图5是示出了根据发明的第五实施例的访问控制表生成/转换/分配系统的框图。在该实施例中,访问控制表(ACL)被广泛地管理,访问控制表从已建立的策略中生成,并且,访问控制表被分配并设置到每个控制目标机器。参照图5,该实施例包括集成访问控制服务器100和多个(η)控制目标机器200-η。集成访问控制服务器100包括策略数据库106、资源数据库102、ACL生成单元 103、ACL转换单元101和分配单元105。控制目标机器200_η中的每一个包括设置单元201 和接收单元203。在集成访问控制服务器100中,存储已建立的策略的策略数据库106将要被分配的策略提供给ACL生成单元103并获得ACL。例如,已建立的策略是会计部门的Yamada被允许读取和写入在/var/samba/ pub/目录(该目录还被网页服务器所共享)下的数据和在/var/samba/keiri (仅被会计部门所使用的目录)下的数据,但是,不允许在/var/samba下的任意其他目录中读取和写入数据。针对该策略,ACL生成单元103生成如图6所示的ACL。在该ACL中,在每个访问控制规则中,访问由策略所描述的会计部门的“Yamada”的动作者被描述为Yamada,而/var/ samba/pub/,/var/samba/keiri/和/var/samba/**被描述为访问目标资源。另外,当写入被允许时,访问每个访问目标资源的权利被表示为“写入+”,而当写入被禁止时,访问权利被表示为“写入-”。即,允许由“ + ”表示,而禁止由“_”表示。通过这种方式,写入、读取和执行访问权利被描述在访问控制规则中。访问控制规则以优先级降序的次序在策略中被描述,并且,还以优先级降序的次序被描述在ACL中。针对ACL中的访问目标表中的记法“*”和“**”,“*”指示“直接在目录下”,而“**”指示“在目录下的全部”。上述ACL被输入到ACL转换单元101。ACL转换单元101通过参照存储控制目标机器的资源信息的资源数据库102来将上述ACL转换成不依赖于访问控制规则的描述次序的ACL,并且,输出已转换的ACL。关于上述ACL,当存储在资源数据库102中的控制目标机器的所有资源信息如图7中所示时,将参照图1和图2来详细描述转换ACL的处理。首先,在图6中所示的ACL的访问控制规则的一行被读取(图2中的步骤Al)。已有规则判定单元U判定所读取的规则未被包括在存储在临时存储单元15中的规则中(图 2的步骤A2),并且,将规则提供到第一规则判定单元12。第一规则判定单元12判定该规则是否是允许规则(在图2中的步骤A3)。然后,yamada:/var/samba/pub:read+*yamada:/ var/samba/pub:wirte+(其为允许规则)被存储在允许规则存储单元16(图2的步骤A5), 而yamad^/var/samba/pub: execute-(其为禁止规则)被提供给第二规则判定单元13。第二规则判定单元13将所提供的规则存储在禁止规则存储单元17中,因为所提供的规则的访问动作者用户与存储在允许规则存储单元16中的允许规则的访问动作者用户相同,并且,所提供的规则的访问目标资源未包括在存储在允许规则存储单元16中的允许规则中所描述的访问目标资源,即,所提供的规则的访问目标资源未与在允许规则中所描述的访问目标资源相矛盾(图2的步骤A4和A8)。然后,判定给规则是否是最后一个规则(图2的步骤A9)。由于所输入的ACL并未达到最后一行,因此,在第二行的访问控制规则被读取(图2的步骤Al)。已有规则判定单元11判定所读取的规则未被包括在存储在临时存储单元15中的规则中(图2的步骤A2)。 因此,该规则被提供给第一规则判定单元12,并且,第一规则判定单元12判定该规则是否是允许规则(图2的步骤A3)。然后,yamada /var/samba/keiri read+ 禾口 yamada /var/samba/ keiri:Wirte+(其为允许规则)被存储在允许规则存储单元16中(图2的步骤A5),而 yamada:/var/samba/keiri:execute-(其为禁止规则)被提供给第二规则判定单元13。第二规则判定单元13判定所提供的规则不与存储在允许规则存储单元16中的允许规则相矛盾。因此,规则被存储在禁止规则存储单元17中(图2的步骤A4和A8)。然后,判定该规则是否是最后一个规则(图2的步骤A9)。由于所输入的ACL并未达到最后一行,在第三行的访问控制规则被读取(图2中的步骤Al)。已有规则判定单元11判定所读取的规则未被包括在存储在临时存储单元15中的规则中(图2中的步骤A2)。因此,规则被提供给第一规则判定单元12,并且,第一规则判定单元12判定规则是否是允许规则。由于规则被判定为禁止规则,因此,其被提供给第二规则判定单元13(图2中的步骤A3)。第二规则判定单元13判定所提供的规则“yamada:/var/samba/**: execute-”未与存储在允许规则存储单元16中的允许规则相矛盾,并且,规则被存储在禁止规则存储单元 17 中(图 2 的步骤 A4 禾口 A8)。由于 yamada /var/samba/** read-禾口 yamada :/var/ samba/**:write- %#fit^ jtWISJJl1J#fit7Π 16 中白勺 yamada:/var/samba/pub:read+> yamada:/var/samba/pub:wirte+> yamada:/var/samba/keiri:read+ 禾口 yamada:/var/ samba/keiri:wirte+相矛盾,因此它们被提供给资源扩展单元14。当yamada:/Var/Samba/**:read-被提供时,资源扩展单元14通过参照资源数据库106识别到在/var/samba/下存在pub、keiri和soumu,并且,扩展资源,使得如存储在允许规则存储单元16中的yamada /var/samba/pub read+禾口 yamada /var/ samba/keiri read+的相同层级的资源信息可被表示(图2中的步骤A6),从而获得 yamada/var/samaba/pubread-Λyamada/var/samba/keiriread一、yamada/var/samba/ soumu:read-和yamada:/var/samba/*:read-。然后,资源扩展单元14从所获得的规则中移除/var/samba/pub和/var/samba/keiri (其为存储在允许规则存储单元16中的访问目标资源),并且,4夺 yamada /var/samba/soumu read-禾口 yamada/var/samba/*: read—存fi者在禁止规则存储单元17中(图2的步骤A7和A8)。然后,资源扩展单元14在所提供的规贝丨J “yamada :/var/samba/**: wirte-”上执行如上述的相同的处理,并且,将yamada:/var/ samba/soumu:wirte_ 禾口 yamada:/var/samba/*:wirte_ 存储在禁止规贝Ij存储单元 17 中(图 2中的步骤A4、A6、A7和A8)。由于所输入的ACL达到最后一行,存储在禁止规则存储单元17中的yamada:/ var/samba/pubexecute-、yamada/var/samba/keiri:execute-、yamada:/var/samba/ soumu:read-, wirte-禾口 yamada:/var/samba/*:read-,wirte-被输出。通过这禾中方式,获得了黑名单形式的ACL。由于在黑名单中允许默认规则,因此,在图8中所示出的ACL(其中,允许访问权利未被描述在输出访问目标资源中)被作为输出获得。在作为输出所获得的ACL中,不存在对访问控制规则被描述的次序的限制。因此,即便当访问控制规则被任意互换并且访问控制机制未以降序处理规则时,当对在ACL中所描述的所有访问控制规则的访问被控制时, 可以获得如上所述的相同的访问控制效果。最后,分配单元105将从ACL转换单元101输出的ACL分配到控制目标机器200_n, 并且,发布设置命令。作为用于发送/设置ACL的方法,可使用任意通信协议(诸如,telnet 或ssh)或在图9中所示的通信协议。首先,集成访问控制服务器100利用分配单元105分配控制目标机器200-n的关于是否准备设置的ACL询问(图9中的步骤Bi),并且,获取如下信息指示控制目标机器 200-n的设置单元201是否有效的信息、指示控制目标机器200-n的接收单元203对应于用于发送将要分配的ACL的协议的哪个通信协议的信息,以及指示用于发送ACL的主要协议是哪个协议的信息(图9中的步骤B2)。在该情形中,优选的是消息基于在图10中所示的基于SOAP的WS-Management。在该实施例中,WS-Management的获取(Get)动作被使用,以指定作为资源URI的代表设置单元201的设置的资源,或代表相应的协议并将消息发送到控制目标机器200-n的接收单元 203以用于询问的资源。控制目标机器200-n的接收单元203响应于来自集成访问控制服务器100的分配单元105的作为基于WS-Management的基于SOAP的获取响应的设置预备询问。然后,集成访问控制服务器100的分配单元105根据通过设置预备询问所获得的协议将ACL发送到控制目标机器200-n的接收单元203 (图9中的步骤。在该阶段所使用的发送协议依赖于在前一阶段通过设置预备询问所获得的协议,并且,未被特殊指定。然后,集成访问控制服务器100的分配单元105基于在图11中所示的基于SOAP 的WS-Management来在更新的情形中使用WS-Management的放置(Put)动作,而在删除的情形中使用WS-Management的删除,以指定代表作为资源URI的设置单元201的资源、指定指示将要设置的ACL的Policy_ID (策略ID),以及将消息发送到控制目标机器200_n的接收单元203,从而请求对ACL的设置(图9中的步骤B4)。当接收请求时,接收单元203将设置命令输出到设置单元201 (图9中的步骤B5), 并且,设置单元201响应于设置命令(图9中的步骤B6)。当接收对设置命令的响应时,接收单元203对ACL设置请求执行基于SOAP的WS-Management的放置响应动作或删除响应动作,从而响应于集成访问控制服务器100的分配单元105(图9中的步骤B7)。仅有在图8中所示的ACL可从集成访问控制服务器100被分配,只要在控制目标机器200-n中所设置的设置单元201能处理黑名单形式的ACL,该集成访问控制服务器就分配ACL。在该情形中,由于不必针对控制目标机器200-1/200-2,. . . , 200-n中的每一个预备ACL,因此,即便控制目标机器的数量增加了,需要从将要分配的策略中通过集成访问控制服务器100生成的ACL的数量可以是一个。第六实施例第六实施例涉及一种示例,其中,集成访问控制服务器仅广泛地管理用于执行访问控制的一个策略,并且,控制目标机器具有获取ACL信息的功能,从而执行集成的访问控制。图13是示出了根据发明的第六实施例的访问控制表参考类型的差异分配系统的框图。参照图13,该实施例包括集成访问控制服务器100’和多个(η)控制目标机器 200’ -η。集成访问控制服务器100’包括策略数据库106、资源数据库102、ACL生成单元 103、ACL转换单元101,以及通信单元110。控制目标机器200’ -η中的每一个包括ACL数据库206、设置单元201和接收单元207。在集成访问控制服务器100’中,存储已建立的策略的策略数据库106将要被分配的策略分配到ACL生成单元103,并且,ACL被获得。然后,ACL被提供给ACL转换单元101, 并且,对描述次序没有限制的ACL被获得。另外,集成访问控制服务器100’利用通信单元 110与控制目标机器200’-η的通信单元207通信,以获取所设置的或分配到控制目标机器 200,-η的ACL以及存储在ACL数据库206中的ACL的元信息。在通过ACL转换单元101所当前获得的ACL中,用以执行在控制目标机器200’_η 中的策略中所建立的访问控制所需的ACL的差异或其所有基于所获得的ACL和所获得的 ACL的元信息而被分配。例如,当控制目标机器200’ -η的所有资源信息如在图7中所示, 并且,在会计部门的Yamada (其中,访问动作者是Yamada)由于个人改组而将其部门从会计部门变更为总务部门,应用于Yamada的策略被变更,并且,访问动作者用户“Yamada”的访问控制表被变更。在该情形中,在图8中所示的ACL当前被设置到控制目标机器200’-n,并且,在图 14中所示的ACL被从策略中获得,该策略通过ACL转换单元101被新近应用于yamada。集成访问控制服务器100’利用通信单元110获取作为新近设置到控制目标机器 200'-η的ACL的元信息的ACL版本或ACL的哈希值。通过这种方式,可以知道将要设置的 ACL不同于当前所设置的ACL。因此,集成访问控制服务器100’参照当前被设置到控制目标机器200’-η的ACL、指示删除在图15中所示ACL(其为在当前所设置的ACL和当前被生成并转换的ACL之间的差异),并且,指示添加在图16中所示的ACL。当将ACL向控制目标机器200’ -η的分配结束时,集成访问控制服务器100’指示控制目标机器200’ -η的设置单元201通过通信单元110和通信单元207设置ACL。
20
集成访问控制服务器100’的通信单元110和控制目标机器200’ -η的通信单元 207可使用任意通信协议,诸如,HTTP或telnet。但是,优选的是基于WS-Management的协议。策略分配/设置协议如图9所示,并且,在该实施例中将不重复对其的描述。在该实施例中,当获得存储在控制目标机器200’ -η中的每一个的ACL数据库206中的信息时,集成访问控制服务器100’利用基于在图17中所示的WS-Management的枚举动作来将在控制目标机器200’ -η上的ACL指定为资源URI,并且,询问控制目标机器200’ -η的通信单元207 的ACL。作为WS-Management的枚举响应动作,在控制目标机器200’_η上的所有ACL表响应于集成访问控制服务器100’的通信单元110。集成访问控制服务器100’检查在所获得的表中是否存在旧版的将要分配的ACL。 当不存在旧版时,集成访问控制服务器100’进行到ACL分配阶段。当存在旧版时,集成访问控制服务器100’获取ACL或ACL得元信息。当ACL的元信息被获得时,集成访问控制服务器100’从通过枚举动作所获得的表中搜索对应ACL的实例、利用基于在图18中所示的WS-Management的获取动作来将在控制目标机器200’-n上的ACL指定为资源URI、利用选择器集(klectorkt)来指定ACL的实例,以及询问控制目标机器200’ -η的通信单元207的ACL。然后,ACL的元信息作为响应被发送到集成访问控制服务器100’的通信单元110。当ACL被获取时,集成访问控制服务器100,询问作为对应于控制目标机器200,~η 的文件发送协议(类似于策略分配/设置协议)的通信协议的类型、确定用于发送ACL的发送协议,并获取ACL。根据发明的上述实施例中的每一个的访问控制表转换系统还可通过硬件实现。另外,计算机可从计算机可读介质读取用于允许计算机用作搜索系统的程序,并执行该程序, 从而实现访问控制表转换系统。根据发明的上述实施例的访问控制表转换方法还可通过硬件实现。另外,计算机可从计算机可读记录介质读取用于执行该方法的程序,并执行该程序,从而实现访问控制表转换方法。以上已描述了发明的示例性实施例,但是,在权利要求的范围内,可做出对发明的各种修改和变更,只要不偏离发明的精神和主要特点即可。因此,发明的上述实施例仅是说明性的,而不限制发明的技术范围。发明的范围由所附权利要求所定义,并且,并不限于说明书或摘要。另外,所有在权利要求等同物的范围内的修改或变更被包括在发明的范围中。本申请要求基于2009年3月19日递交的日本专利申请No. 2009-068002的优先权,其全部内容通过引用被结合于此。工业适用性本发明可被应用于知晓变更表示为访问控制表的策略的人的意愿,或分配差异同时确保所变更部分的一致性。另外,发明可被应用于新生成或变更访问控制表,以便针对多个访问控制执行机制生成访问控制表、或将访问控制表中的变更向多个访问控制执行机制反映。参考标号表11:已有规则判定单元12 第一规则判定单元
13 第二规则判定单元
14 资源扩展单元
15 临时存储单元
16 允许规则存储单元
17 禁止规则存储单元
100、100’、100”:集成访问控制服务器
101=ACL转换单元
102资源数据库
103 =ACL生成单元
104、104,差异抽取单元
105分配单元
106策略数据库
107=ACL数据库
108签名单元
109 =ACL 询问
110通信单元
200,200-1,200-2,200-n 控制目标机器
200,、200-1,、200-2,、200,-n 控制目标机器
200”:控制目标机器
201设置单元
202合并单元
203接收单元
204签名验证单元
205=ACL控制单元
206=ACL数据库
207通信单元
权利要求
1.一种访问控制表转换系统,包括读取单元,该读取单元被提供有包括至少一个访问控制规则的访问控制表,所述访问控制规则是要被访问的访问目标资源、访问所述访问目标资源的访问动作者用户、以及定义是允许还是禁止所述访问动作者用户访问所述访问目标资源的访问权利的集,并且,该读取单元读取在所述访问控制表中描述的访问控制规则;第一规则判定单元,该第一规则判定单元判定所读取的访问控制规则是允许所述访问动作者用户访问所述访问目标资源的允许规则,还是禁止所述访问动作者用户访问所述访问目标资源的禁止规则;存储单元,该存储单元存储通过所述第一规则判定单元被判定为所述允许规则的访问控制规则;第二规则判定单元,该第二规则判定单元判定被判定为所述禁止规则的访问控制规则的访问动作者用户是否与存储在所述存储单元中的访问控制规则的访问动作者用户相同, 并且,判定被判定为所述禁止规则的访问控制规则的访问目标资源是否包括存储在所述存储单元中的访问控制规则的访问目标资源;数据库,该数据库存储资源信息,其中,访问目标资源的所有最新信息被系统地从高级概念到低级概念记录;以及资源扩展单元,该资源扩展单元通过参照资源信息,从通过所述第二规则判定单元被判定为具有与存储在所述存储单元中的访问控制规则相同的访问动作者用户、并且包括存储在所述存储单元中的访问控制规则的访问目标资源的访问控制规则的访问目标资源中, 移除存储在所述存储单元中的访问控制规则中所描述的访问目标资源。
2.如权利要求1所述的访问控制表转换系统,其中,所述资源扩展单元通过参照所述资源信息,将通过所述第二规则判定单元被判定为具有与存储在所述存储单元中的访问控制规则相同的访问动作者用户、并且包括存储在所述存储单元中的访问控制规则的访问目标资源的访问控制规则的访问目标资源扩展至与存储在所述存储单元中的访问控制规则的访问目标资源相同的低级概念等级,并且, 将存储在所述存储单元中的访问控制规则的访问目标资源从被扩展至所述相同的低级概念等级的访问目标资源中移除。
3.如权利要求1或2所述的访问控制转换系统, 其中,所述存储单元包括允许规则存储单元,该允许规则存储单元存储通过所述第一规则判定单元被判定为所述允许规则的访问控制规则;以及禁止规则存储单元,该禁止规则存储单元存储通过所述第一规则判定单元被判定为所述禁止规则的访问控制规则、通过所述第二规则判定单元被判定为具有与存储在所述存储单元中的访问控制规则不同的访问动作者用户并且不包括存储在所述存储单元中的访问控制规则的访问目标资源的访问控制规则、以及通过所述资源扩展单元将存储在所述存储单元中的访问控制规则中所描述的访问目标资源从中移除的访问控制规则,并且存储在所述禁止规则存储单元中的访问控制规则被最终输出。
4.如权利要求1到3中的任一项所述的访问控制转换系统,其中,当所述读取单元参照所述存储单元并且所读取的访问控制规则被包括在存储在所述存储单元中的访问控制规则中时,所述读取单元从访问控制表读取新的访问控制规则。
5.一种访问控制表转换系统,包括读取单元,该读取单元被提供有包括至少一个访问控制规则的访问控制表,所述访问控制规则是要被访问的访问目标资源、访问所述访问目标资源的访问动作者用户、以及定义是允许还是禁止所述访问动作者用户访问所述访问目标资源的访问权利的集,并且,该读取单元读取在所述访问控制表中所描述的所述访问控制规则;第一规则判定单元,该第一规则判定单元判定所读取的访问控制规则是允许所述访问动作者用户访问所述访问目标资源的允许规则,还是禁止所述访问动作者用户访问所述访问目标资源的禁止规则;存储单元,该存储单元存储通过所述第一规则判定单元被判定为所述禁止规则的访问控制规则;第二规则判定单元,该第二规则判定单元判定被判定为所述允许规则的访问控制规则的访问动作者用户是否与存储在所述存储单元中的访问控制规则的访问动作者用户相同, 并且,判定被判定为所述允许规则的访问控制规则的访问目标资源是否包括存储在所述存储单元中的访问控制规则的访问目标资源;数据库,该数据库存储资源信息,其中,访问目标资源的所有最新信息被系统地从高级概念到低级概念记录;以及资源扩展单元,该资源扩展单元通过参照资源信息,从通过所述第二规则判定单元被判定为具有与存储在所述存储单元中的访问控制规则相同的访问动作者用户、并且包括存储在所述存储单元中的访问控制规则的访问目标资源的访问控制规则的访问目标资源中, 移除存储在所述存储单元中的访问控制规则中所描述的访问目标资源。
6.如权利要求5所述的访问控制表转换系统,其中,所述资源扩展单元通过参照所述资源信息,将通过所述第二规则判定单元被判定为具有与存储在所述存储单元中的访问控制规则相同的访问动作者用户、并且包括存储在所述存储单元中的访问控制规则的访问目标资源的访问控制规则的访问目标资源扩展至与存储在所述存储单元中的访问控制规则的访问目标资源相同的低级概念等级,并且, 将存储在所述存储单元中的访问控制规则的访问目标资源从被扩展至所述相同的低级概念等级的访问目标资源中移除。
7.如权利要求5或6所述的访问控制转换系统, 其中,所述存储单元包括禁止规则存储单元,该禁止规则存储单元存储通过所述第一规则判定单元被判定为所述禁止规则的访问控制规则;以及允许规则存储单元,该允许规则存储单元存储通过所述第一规则判定单元被判定为所述允许规则的访问控制规则、通过所述第二规则判定单元被判定为具有与存储在所述存储单元中的访问控制规则不同的访问动作者用户并且不包括存储在所述存储单元中的访问控制规则的访问目标资源的访问控制规则、以及通过所述资源扩展单元将存储在所述存储单元中的访问控制规则中所描述的访问目标资源从中移除的访问控制规则,并且存储在所述允许规则存储单元中的访问控制规则被最终输出。
8.如权利要求5到7中的任一项所述的访问控制转换系统,其中,当所述读取单元参照所述存储单元并且所读取的访问控制规则被包括在存储在所述存储单元中的访问控制规则中时,所述读取单元从访问控制表读取新的访问控制规则。
9.一种访问控制表转换方法,包括第一规则判定步骤,该第一规则判定步骤接收包括至少一个访问控制规则的访问控制表,该访问控制规则是要被访问的访问目标资源、访问所述访问目标资源的访问动作者用户、以及定义是允许还是禁止所述访问动作者用户访问所述访问目标资源的访问权利的集,并且,该第一规则判定步骤读取在所述访问控制表中描述的访问控制规则,并判定所读取的访问控制规则是允许所述访问动作者用户访问所述访问目标资源的允许规则,还是禁止所述访问动作者用户访问所述访问目标资源的禁止规则;存储通过所述第一规则判定步骤被判定为所述允许规则的访问控制规则的存储步骤;第二规则判定步骤,该第二规则判定步骤判定被判定为所述禁止规则的访问控制规则的访问动作者用户是否与在所述存储步骤中存储的访问控制规则的访问动作者用户相同, 并且,判定被判定为所述禁止规则的访问控制规则的访问目标资源是否包括在所述存储步骤中存储的访问控制规则的访问目标资源;资源扩展步骤,该资源扩展步骤存储资源信息,其中,访问目标资源的所有最新信息被系统地从高级概念到低级概念记录在数据库中,并且,该资源扩展步骤通过参照资源信息, 从通过所述第二规则判定步骤被判定为具有与在所述存储步骤中存储的访问控制规则相同的访问动作者用户、并且包括在所述存储步骤中存储的访问控制规则的访问目标资源的访问控制规则的访问目标资源中,移除在所述存储步骤中存储的访问控制规则中所描述的访问目标资源。
10.如权利要求9所述的访问控制表转换方法,其中,所述资源扩展步骤通过参照所述资源信息,将通过所述第二规则判定步骤被判定为具有与在所述存储步骤中存储的访问控制规则相同的访问动作者用户、并且包括在所述存储步骤中存储的访问控制规则的访问目标资源的访问控制规则的访问目标资源扩展至与在所述存储步骤中存储的访问控制规则的访问目标资源相同的低级概念等级,并且, 将在所述存储步骤中存储的访问控制规则的访问目标资源从被扩展至所述相同的低级概念等级的访问目标资源中移除。
11.如权利要求9或10所述的访问控制转换方法,其中,所述存储步骤包括允许规则存储步骤,该允许规则存储步骤存储通过所述第一规则判定步骤被判定为所述允许规则的访问控制规则;以及禁止规则存储步骤,该禁止规则存储步骤存储通过所述第一规则判定步骤被判定为所述禁止规则的访问控制规则、通过所述第二规则判定步骤被判定为具有与在所述存储步骤中存储的访问控制规则不同的访问动作者用户并且不包括在所述存储步骤中存储的访问控制规则的访问目标资源的访问控制规则、以及在所述资源扩展步骤中将在所述存储步骤中存储的访问控制规则中所描述的访问目标资源从中移除的访问控制规则,并且在所述禁止规则存储步骤中存储的访问控制规则被最终输出。
12.如权利要求9到11中的任一项所述的访问控制转换方法,其中,当所述读取步骤参照在所述存储步骤中存储的访问控制规则并且所读取的访问控制规则被包括在所述存储步骤中存储的访问控制规则中时,所述读取步骤从访问控制表读取新的访问控制规则。
13.一种访问控制表转换方法,包括读取步骤,该读取步骤接收包括至少一个访问控制规则的访问控制表,该访问控制规则是要被访问的访问目标资源、访问所述访问目标资源的访问动作者用户、以及定义是允许还是禁止所述访问动作者用户访问所述访问目标资源的访问权利的集,并且,该读取步骤读取在所述访问控制表中所描述的所述访问控制规则;第一规则判定步骤,该第一规则判定步骤判定所读取的访问控制规则是允许所述访问动作者用户访问所述访问目标资源的允许规则,还是禁止所述访问动作者用户访问所述访问目标资源的禁止规则;存储通过所述第一规则判定步骤被判定为所述禁止规则的访问控制规则的存储步骤;第二规则判定步骤,该第二规则判定步骤判定被判定为所述允许规则的访问控制规则的访问动作者用户是否与在所述存储步骤中存储的访问控制规则的访问动作者用户相同, 并且,判定被判定为所述允许规则的访问控制规则的访问目标资源是否包括在所述存储步骤中存储的访问控制规则的访问目标资源;资源扩展步骤,该资源扩展步骤存储资源信息,其中,访问目标资源的所有最新信息被系统地从高级概念到低级概念记录在数据库中,并且,所述资源扩展步骤通过参照资源信息,从通过所述第二规则判定步骤被判定为具有与在所述存储步骤中存储的访问控制规则相同的访问动作者用户、并且包括在所述存储步骤中存储的访问控制规则的访问目标资源的访问控制规则的访问目标资源中,移除在所述存储步骤中存储的访问控制规则中所描述的访问目标资源。
14.如权利要求13所述的访问控制表转换方法,其中,所述资源扩展步骤通过参照所述资源信息,将通过所述第二规则判定步骤被判定为具有与在所述存储步骤中存储的访问控制规则相同的访问动作者用户、并且包括在所述存储步骤中存储的访问控制规则的访问目标资源的访问控制规则的访问目标资源扩展至与在所述存储步骤中存储的访问控制规则的访问目标资源相同的低级概念等级,并且, 将在所述存储步骤中存储的访问控制规则的访问目标资源从被扩展至所述相同的低级概念等级的访问目标资源中移除。
15.如权利要求13或14所述的访问控制转换方法,其中,所述存储步骤包括禁止规则存储步骤,该禁止规则存储步骤存储通过所述第一规则判定步骤被判定为所述禁止规则的访问控制规则;以及允许规则存储步骤,该允许规则存储步骤存储通过所述第一规则判定步骤被判定为所述允许规则的访问控制规则、通过所述第二规则判定步骤被判定为具有与在所述存储步骤中存储的访问控制规则不同的访问动作者用户并且不包括在所述存储步骤中存储的访问控制规则的访问目标资源的访问控制规则、以及在所述资源扩展步骤中将在所述存储步骤中存储的访问控制规则中所描述的访问目标资源从中移除的访问控制规则,并且在所述允许规则存储步骤中存储的访问控制规则被最终输出。
16.如权利要求13到15中的任一项所述的访问控制转换方法,其中,当所述读取步骤参照在所述存储步骤中存储的访问控制规则并且所读取的访问控制规则被包括在所述存储步骤中存储的访问控制规则中时,所述读取步骤从访问控制表读取新的访问控制规则。
17.一种访问控制表转换程序,其允许计算机执行接收包括至少一个访问控制规则的访问控制表的处理,该访问控制规则是要被访问的访问目标资源、访问所述访问目标资源的访问动作者用户、以及定义是允许还是禁止所述访问动作者用户访问所述访问目标资源的访问权利的集;读取在所述访问控制表中所描述的所述访问控制规则的读取处理; 第一规则判定处理,该第一规则判定处理判定所读取的访问控制规则是允许所述访问动作者用户访问所述访问目标资源的允许规则,还是禁止所述访问动作者用户访问所述访问目标资源的禁止规则;存储在所述第一规则判定处理中被判定为所述允许规则的访问控制规则的存储步骤;第二规则判定处理,该第二规则判定处理判定被判定为所述禁止规则的访问控制规则的访问动作者用户是否与在所述存储处理中存储的访问控制规则的访问动作者用户相同, 并且,判定被判定为所述禁止规则的访问控制规则的访问目标资源是否包括在所述存储处理中存储的访问控制规则的访问目标资源;存储资源信息处理的处理,其中,访问目标资源的所有最新信息被系统地从高级概念到低级概念记录在数据库中;资源扩展处理,该资源扩展处理通过参照资源信息,从在所述第二规则判定处理中被判定为具有与在所述存储处理中存储的访问控制规则相同的访问动作者用户、并且包括在所述存储处理中存储的访问控制规则的访问目标资源的访问控制规则的访问目标资源中, 移除在所述存储处理中存储的访问控制规则中所描述的访问目标资源。
18.如权利要求17所述的访问控制表转换程序,其中,所述资源扩展处理通过参照所述资源信息,将在所述第二规则判定处理中被判定为具有与在所述存储处理中存储的访问控制规则相同的访问动作者用户、并且包括在所述存储处理中存储的访问控制规则的访问目标资源的访问控制规则的访问目标资源扩展至与在所述存储处理中存储的访问控制规则的访问目标资源相同的低级概念等级,并且, 将在所述存储处理中存储的访问控制规则的访问目标资源从被扩展至所述相同的低级概念等级的访问目标资源中移除。
19.如权利要求17或18所述的访问控制转换程序, 其中,所述存储处理包括允许规则存储处理,该允许规则存储处理存储在所述第一规则判定处理中被判定为所述允许规则的访问控制规则;以及禁止规则存储处理,该禁止规则存储处理存储在所述第一规则判定处理中被判定为所述禁止规则的访问控制规则、在所述第二规则判定处理中被判定为具有与在所述存储处理中存储的访问控制规则不同的访问动作者用户并且不包括在所述存储处理中存储的访问控制规则的访问目标资源的访问控制规则、以及在所述资源扩展处理中将在所述存储处理中存储的访问控制规则中所描述的访问目标资源从中移除的访问控制规则,并且在所述禁止规则存储处理中存储的访问控制规则被最终输出。
20.如权利要求17到19中的任一项所述的访问控制转换程序,其中,当所述读取处理参照在所述存储处理中存储的访问控制规则并且所读取的访问控制规则被包括在所述存储处理中存储的访问控制规则中时,所述读取处理从访问控制表读取新的访问控制规则。
21.一种访问控制表转换程序,其允许计算机执行接收包括至少一个访问控制规则的访问控制表的处理,该访问控制规则是要被访问的访问目标资源、访问所述访问目标资源的访问动作者用户、以及定义是允许还是禁止所述访问动作者用户访问所述访问目标资源的访问权利的集;读取在所述访问控制表中所描述的所述访问控制规则的读取处理; 第一规则判定处理,该第一规则判定处理判定所读取的访问控制规则是允许所述访问动作者用户访问所述访问目标资源的允许规则,还是禁止所述访问动作者用户访问所述访问目标资源的禁止规则;存储在所述第一规则判定处理中被判定为所述禁止规则的访问控制规则的存储处理;第二规则判定处理,该第二规则判定处理判定被判定为所述允许规则的访问控制规则的访问动作者用户是否与在所述存储处理中存储的访问控制规则的访问动作者用户相同, 并且,判定被判定为所述允许规则的访问控制规则的访问目标资源是否包括在所述存储处理中存储的访问控制规则的访问目标资源;存储资源信息的处理,其中,访问目标资源的所有最新信息被系统地从高级概念到低级概念记录在数据库中;资源扩展处理,该资源扩展处理通过参照资源信息,从在所述第二规则判定处理中被判定为具有与在所述存储处理中存储的访问控制规则相同的访问动作者用户、并且包括在所述存储处理中存储的访问控制规则的访问目标资源的访问控制规则的访问目标资源中, 移除在所述存储处理中存储的访问控制规则中所描述的访问目标资源。
22.如权利要求21所述的访问控制列表转换程序,其中,所述资源扩展处理通过参照所述资源信息,将在所述第二规则判定处理中被判定为具有与在所述存储处理中存储的访问控制规则相同的访问动作者用户、并且包括在所述存储处理中存储的访问控制规则的访问目标资源的访问控制规则的访问目标资源扩展至与在所述存储处理中存储的访问控制规则的访问目标资源相同的低级概念等级,并且, 将在所述存储处理中存储的访问控制规则的访问目标资源从被扩展至所述相同的低级概念等级的访问目标资源中移除。
23.如权利要求21或22所述的访问控制转换程序, 其中,所述存储处理包括禁止规则存储处理,该禁止规则存储处理存储在所述第一规则判定处理中被判定为所述禁止规则的访问控制规则;以及允许规则存储处理,该允许规则存储处理存储在所述第一规则判定处理中被判定为所述允许规则的访问控制规则、在所述第二规则判定处理中被判定为具有与在所述存储处理中存储的访问控制规则不同的访问动作者用户并且不包括在所述存储处理中存储的访问控制规则的访问目标资源的访问控制规则、以及在所述资源扩展处理中将在所述存储处理中存储的访问控制规则中所描述的访问目标资源从中移除的访问控制规则,并且在所述允许规则存储处理中存储的访问控制规则被最终输出。
24.如权利要求21到23中的任一项所述的访问控制转换程序, 其中,当所述读取处理参照在所述存储处理中存储的访问控制规则并且所读取的访问控制规则被包括在所述存储处理中存储的访问控制规则中时,所述读取处理从访问控制表读取新的访问控制规则。
全文摘要
一种访问控制表转换系统,包括第一规则判定单元12,其判定访问控制规则是允许规则还是禁止规则;临时存储单元15,其存储被判定为允许规则的访问控制规则;第二规则判定单元13,其判定禁止规则的访问动作者用户是否与禁止规则的访问动作者用户相同,并且,判定禁止规则的访问目标资源是否包括允许规则的访问目标资源;资源数据库,其存储资源信息,其中,访问目标资源的所有最新信息被系统地记录;以及资源扩展单元,其通过参照资源信息,从被判定为具有与允许规则相同的访问动作者用户并包括访问控制规则的访问目标资源的访问控制规则的访问目标资源中移除允许规则的访问目标资源。
文档编号G06F12/00GK102349078SQ20108001145
公开日2012年2月8日 申请日期2010年3月17日 优先权日2009年3月19日
发明者石川尊之 申请人:日本电气株式会社
完整全部详细技术资料下载
  • 该技术已申请专利。仅供学习研究,如用于商业用途,请联系技术所有人。
  • 技术研发人员:石川尊之
  • 技术所有人:日本电气株式会社
  • 我是此专利的发明人
相关技术
网友询问留言 已有0条留言
  • 还没有人留言评论。精彩留言会获得点赞!
1
精彩留言,会给你点赞!
访问控制程序相关技术
信息系统访问控制机制相关技术
访问控制系统相关技术
系统访问控制策略相关技术
应用系统访问控制相关技术
钛备份转换为系统程序相关技术
访问控制相关技术

使用协议| 关于我们| 联系X技术

© 2008-2024 【X技术】 版权所有,并保留所有权利。津ICP备16005673号-2