专利名称:访问控制系统的制作方法
技术领域:
本发明的实施方式涉及在分散环境中也能够高效率地进行访问控制的访问控制系统。
背景技术:
近年来,根据权限信息来控制特定的信息或行为的访问控制技术的重要性不断提高。例如,行为可否形式的访问控制得到广泛利用。作为行为可否形式的访问控制,例如有将针对文档文件的权限信息作为安全属性的访问控制。详细来说,以“阅览许可”或“编辑许可”等行为可否形式记载了分配给用户的、对文档文件的权限信息。作为这种权限信息,已知访问控制矩阵(Access Control Matrix)或访问控制列表(Access Control List)。例如,公开了作为“安全容器”而对文档文件设定权限信息(规则)的方法。但是,在行为可否形式的访问控制中,难以记载被许可的访问时间或访问场所等的条件、或详细的功能限制等灵活的访问控制内容。因此,近年来不仅利用行为可否形式的访问控制,还利用访问控制策略形式的访问控制。访问控制策略是访问控制规则的集合,公开了标准的记载规范。在该访问控制策略形式的访问控制中,能够记载被许可的条件或详细的功能限制。例如在访问控制策略形式的访问控制中,当接受对文档文件的访问请求时,在判定了是否应该打开文件的基础上,能够进行限制为访问控制策略中所规定的功能等的控制。但是,在访问控制策略形式的访问控制中,需要从进行访问控制的策略执行点(Policy Enforcement Point)向评价访问控制策略的策略决定点(PolicyDecisionPoint)请求评价与访问控制的策略信息对应的访问内容。例如,请求访问主体(subject)或访问行为(action)等的评价。此外,一般来说,在访问控制前进行访问主体的认证,但是此时与访问控制策略等不同,作为用于决定能够证明访问主体的认证方式的信息而使用认证策略的情况较多。但是,在访问控制策略形式的访问控制中,策略执行点不具有访问控制策略的评价所需要的策略属性的信息,因此,即使进行访问请求有时也不许可访问。因此,需要即使在这种情况下也能够高效率地进行访问控制的机制。现有技术文件专利文献专利文献I :日本特开2001-306521号公报非专利文献非专利文献I :Tim Moses>^extensible Access Control MarkupLanguage (XACML) Version2. 0”、[online]、[2007 年 5 月 17 日检索]、因特网〈URL http://docs, oasis-open, org/xacml/2. 0/access_control-xacml_2· 0-core-spec-os· pdt>
图I是表示第I实施方式的访问控制系统的结构的示意图。图2是表示该实施方式的“策略属性查询”的一例的图。图3是表示该实施方式的“策略评价请求”的一例的图。图4是表示该实施方式的“策略信息”的一例的图。图5是表示该实施方式的“策略信息”的一例的图。图6是表示该实施方式的“策略属性应答”的一例的图。 图7是用于说明该实施方式的访问控制系统I的动作的流程图。图8是用于说明现有的访问控制的动作的图。
具体实施例方式实施方式的访问控制系统具备用于控制操作者终端与资源装置的访问的策略执行装置以及策略评价装置。策略执行装置具备接收从操作者终端对资源装置的访问请求的访问请求接收部。策略执行装置具备策略属性查询部,用于当接收到访问请求时,向策略评价装置 查询与资源装置的访问所需的策略属性。策略执行装置具备连接条件信息取得部,用于当从策略评价装置接收到策略属性时,取得与该策略属性对应的连接条件信息。策略执行装置具备策略评价请求部,其当取得连接条件信息时,向策略评价装置发送包含该连接条件信息的策略评价请求。策略执行装置具备访问控制部,其根据针对策略评价请求的策略评价应答,控制操作者终端与资源装置的访问。策略评价装置具备策略信息存储部,其存储表示对资源装置的连接条件的策略信肩、O策略评价装置具备策略属性解析部,其根据策略信息,解析与来自策略执行装置的策略属性查询对应的策略属性。策略评价装置具备策略属性应答部,其向策略执行装置应答通过策略属性解析部解析的策略属性。策略评价装置具备策略评价应答部,其当从策略执行装置接收到策略评价请求时,根据该策略评价请求中包含的连接条件信息和策略信息,向该策略执行装置发送表示是否许可操作者终端与资源装置的访问的策略评价应答。以下,参照
实施方式。<第I实施方式>(访问控制系统的结构)图I是表示第I实施方式的访问控制系统I的结构的示意图。访问控制系统I具有策略执行装置30和策略评价装置40,执行操作者终端10与资源装置20的访问控制。此外,这些各装置10 40通过网络互相连接。另外,作为访问控制的前提,事先在策略评价装置40中存储了针对资源装置20的策略信息。另外,在本实施方式中将策略执行装置30与外部认证提供者50连接。
操作者终端10是由操作者操作的终端装置。操作者以经由该操作者终端10访问特定的资源装置20为目的。当操作者终端10访问资源装置20时,从操作者终端10向资源装置20的“访问请求”被发送到策略执行装置30。资源装置20是操作者终端10的访问对象。例如在资源装置20中存储了由各种服务提供商提供的“资源信息”。对于资源装置20,通过策略信息预先定义了连接条件,仅对满足与特定的策略属性对应的连接条件的访问请求许可访问。此外,在分散环境系统中分别存在多个资源装置20和操作者终端10。策略执行装置30是作为所谓的策略执行点而发挥作用的装置,具备访问请求接 收部31、策略属性查询部32、策略属性查询生成部33、连接条件信息取得部34、策略评价请求部35、访问控制部36。访问请求接收部31从操作者终端10接收对资源装置20的访问请求。访问请求接收部31当接收访问请求时向策略属性查询部32送出操作者终端10要访问的资源装置20的信息。策略属性查询部32,用于当从操作者终端10接收到访问请求时向策略评价装置40查询与资源装置20的访问所需的策略属性。总之,该策略属性查询部32事先查询为了进行后述的策略评价请求而需要的策略属性的信息。另外,策略属性查询部32,当查询策略属性时向策略属性查询生成部33请求策略属性查询的生成。另外,在本实施方式中假定策略属性查询部32查询“认证方式”作为策略属性。若补充说明,在认证方式中包括密码认证或IC卡认证、生物体认证等。因此,策略属性查询部32向策略评价装置40查询是否若是上述中的某一种认证则许可对资源装置20的访问。但是,除了认证方式以外,当然也可以将场所或操作应用程序类别等其它条件应用于策略属性。策略属性查询生成部33生成用于查询策略属性的“策略属性查询”。策略属性查询被策略评价装置40用于根据策略信息来解析必要的策略属性。关于策略信息,在后面进行说明。该策略属性查询例如成为图2所示的结构的信息。详细来说,通过AttributeFindingQuery 要素 e21 表现策略属性查询。AttributeFindingQuery 要素 e21,在子要素中具有一个以上的Query要素e22,通过QueryId属性来识别各Query要素。Query要素e22具有表示作为想要查询的对象的策略属性的QueryTarget要素e23、和表示用于缩小范围的条件的QueryConditon要素e27。在图2的例子中表示了在QueryTarget要素e23中查询作为Subject要素e24的子要素的Attribute要素中、具有AttributeId属性值“authentication-method” 和“identity-provider-url” 的 Attribute 要素 e25、e26 的要素值。若在QueryTarget要素e23中没有指定,则认为与查询有可能适合的全部策略属性的含义相同。另外,在图2的例子中表示了,根据QueryConditon要素e27的AttributeValue要素e28、e29的指定,查询用于对与“Resource-l”对应的资源装置20进行“read”的行为的条件。由此,能够从策略信息中提取出适合于该条件的策略属性。连接条件信息取得部34,用于当从策略评价装置40接收到策略属性时,取得与接收到的策略属性对应的“连接条件信息”。在本实施方式中,作为连接条件信息取得部34而使用认证装置,取得基于由策略属性指定的认证方式的信息,作为连接条件信息。
认证装置是用于认证操作者是否是本人的装置,具有多种认证方式,执行基于单一认证方式或复合认证方式的认证。此时,认证装置可以与外部的认证装置或认证提供商连接来协调地执行认证。另外,认证装置是用于执行一般的认证的装置即可,关于装置结构的细节等进行省略。策略评价请求部35在通过连接条件信息取得部34取得了连接条件信息时,将包含该连接条件信息的“策略评价请求”发送到策略评价装置40。策略评价请求例如是图3所示的结构的信息。在此,连接条件信息用Attribute要素e31、e32、e33来表示,与访问请求目的地对应的信息用Attribute要素e34、e35来表示。即,作为连接条件信息,写入了 Attribute 要素 e31 的“User-1 ”通过 Attribute 要素 e32 的密码认证方式(“password”)通过Attribute要素e33的URL “http://examplel. co. jp/login”的外部认证提供商进行了认证。并且,作为访问请求目的地,向Attribute要素e34的“Resource-l”请求了针对Attribute要素e35的“read”行为的访问许可的判定。访问控制部36根据针对策略评价请求的策略评价应答,控制操作者终端10与资 源装置20的访问。S卩,访问控制部36进行当策略评价应答表示“许可(permit) ”时许可操作者终端10与资源装置20的访问,当策略评价应答表示“拒绝(Deny) ”时拒绝操作者终端10与资源装置20的访问的控制。策略评价装置40作为所谓的策略评价点而发挥作用,具备策略信息存储部41、策略属性解析部42、策略属性应答部43、策略评价应答部44。策略信息存储部41是存储表示对资源装置20的连接条件的“策略信息”的存储器。此外,策略信息也可以被存储在外部存储装置中,随时被写入。在本实施方式中,采用以XML(extensible Markup Language)形式记载的策略文件的例子来说明策略信息。该策略文件可以是单独的文件形式,也可以是包含在文档文件中的形式。在本实施方式中,对包含在文档文件中的形式进行说明。策略信息例如是图4以及图5所示的构造的策略文件。在本实施方式中,作为标准的策略描述语言,采用了以非专利文献I中公开的XACML V2. O形式为参考的描述形式。该策略文件具有一个以上的Policy (策略)要素e42。另外,作为将Policy要素e42汇总的信息,可以具有PolicySet要素e41。另外,也可以在PolicySet要素中包含PolicySet要素。Policy要素e42具有Rule (规则)要素e47,在Rule要素e47中描述了访问控制的基本内容。在此,策略文件作为表示访问控制的基本内容的文件,包含“subject”(主体)、“action” (行为)、“resource” (资源)、“environment” (环境)等构成要素。具体来说,“subject” (主体)是访问执行的主体,用Subjects要素e44表示。“resource” (资源)是访问执行的客体,用Resources要素e45表示。“action” (行为)是访问执行的行为内容,用Actions要素e46表示。“environment”(环境)表示访问执行的环境。在本实施方式中举例表示的策略描述例,为了记载的简化而排除了命名空间、数据类型等信息。另外,策略信息,作为用于许可对资源装置20的访问的策略属性的一例,假定设定了“认证方式”和“认证提供商(进行操作者的认证的实施者)的连接目的地”。总之,除了表示能够访问资源装置20的操作者是谁的信息以外,还指定了确认操作者时应该实施的认证方式、和关于应该由谁进行认证的信息。例如在图4以及图5的策略信息的例子中,根据Policy要素e42正下方的Target要素e43,分别通过Subjects要素e44、Resources要素e45、Actions要素e46指定了应该设为对象的访问主体、访问资源和访问行为。对于在此指定的访问主体,通过RuleId值为“Rule-Ι”的Rule要素e47的Condition要素e48指定了付条件的认证方式和认证提供商。在此,指定了在用AttributeId属性值为“identity-provider-url”的Attribute要素e50、e51所指定的某个认证提供商中通过密码认证方式进行认证。此外,用URL来表现用于识别认证提供商的认证服务场所的值。另外,将表示认证方式的Attribute要素e49的AttributeId属性值表现为“ authentication-method,,。此外,策略信息可以由外部的目录服务等提供。在这种情况下,策略信息存储部41通过目录服务等用于访问策略存储装置(policy store)的连接器等来安装。策略属性应答部42当从策略执行装置30取得策略属性查询时,使策略属性解析部43解析策略属性,将解析结果作为“策略属性应答”向策略执行装置30应答。策略属性解析部43根据策略信息来解析与来自策略执行装置30的策略属性查询 对应的策略属性。在此,策略属性解析部43以对本地文件的访问程序等形态来安装,从策略信息存储部41取得策略信息。具体来说,策略属性解析部43从通过策略属性查询而指定的资源装置20的策略信息中提取策略属性。策略属性解析部43生成的策略属性应答例如如图6所示。策略属性应答通过 AttributeFindingResponse 要素 e61 来表现。AttributeFindingResponse 要素e61具有Response要素e62。该Response要素e62通过CorrelationId属性与策略属性查询的Query要素e22关联。Response要素e62是包含策略评价所需的策略属性的集合。在此,不包含策略属性值(Attribute要素值)时,单纯表示需要该策略属性。另外,包含策略属性值时,表示进行“策略评价请求”时必须包含的策略属性值。例如,在Subject要素e63中表示AttributeId属性值为“authentication-method”的Attribute属性是“password”,因此必须选择密码认证方式。另外,Apply要素e64的FunctionId值为“or”时,表示是能够选择的值。例如,作为AttributeId 属性为 “identity_provider_url” 的属性值,能够选择 “http://examplel.co. jp/login” 和 “http://example2. co. jp/login” 二者,需要通过与某个 URL 对应的认证提供商接受认证。另外,关于策略信息,可以控制是否应答适合于策略属性查询的策略属性值。SP,可以对与该策略属性相应的Attribute要素追加表示是否应答所述策略属性值的属性(Quariable 属性)。例如,当用布尔(Boolean)型(采用真值的“真=ture”和“伪=false”这两个值的基本数据型)表现Quariable属性值时,在图4的例子中成为关于Subject要素的Attribute要素的Quariable属性值那样。该Subject要素的Attribute要素的Quariable属性值为“false”,因此,即使该策略属性适合,也不应答策略属性的值。若Quariable属性值不存在,则可以返回策略属性的值,但是也可以明确地将Quariable属性值设为“true”。此外,关于这些判别条件如前所述,可以明确地记载在策略内,还可以由策略属性解析部作为静态的设定信息来保存。策略评价应答部44当从策略执行装置30接收到“策略评价请求”时,根据接收到的策略评价请求中包含的连接条件信息和策略信息,将表示是否许可操作者终端10与资源装置20的访问的“策略评价应答”发送到策略执行装置30。总之,在策略评价应答部44中,根据策略评价请求中包含的各要素和策略信息的rule要素e47、e52,将表示“访问许可(Permit) ”或“访问拒绝(Deny) ”的策略评价应答发送到策略执行装置30。此外,上述策略执行装置30以及策略评价装置40,可以是被配置在同一物理装置上的形态。另外,资源装置20可以被保持在策略执行装置30的内部。(访问控制系统的动作)接着,使用图7的流程图说明本实施方式的访问控制系统I的动作。首先,通过操作者对操作者终端10的操作,将对资源装置20的“访问请求”发送到策略执行装置30 (SI)。由此,策略执行装置30从操作者终端10接收对资源装置20的访问请求。策略执行装置30当接收到的访问请求时,向策略评价装置40查询与资源装置20 的访问所需的策略属性是什么。具体来说,策略属性查询部32将策略属性查询发送到策略评价装置40 (S2)。该策略属性查询由策略属性查询生成部33生成,记载了成为查询对象的策略属性的要素、和用于缩小其范围的条件。策略评价装置40经由策略属性应答部42从策略执行装置30取得策略属性查询。接着,策略属性解析部43根据策略属性查询来解析在策略信息存储部41中存储的策略信息,提取出需要的策略属性(S3)。然后,策略评价装置40将记载了通过策略属性解析部43解析的策略属性的信息的策略属性应答,经由策略属性应答部42发送到策略执行装置30 (S4)。当通过策略执行装置30从策略评价装置40接收到策略属性应答时,通过策略属性查询部32读出在策略属性应答中记载的策略属性。在此,作为必要的策略属性,读出了“密码认证”和“外部认证提供商的连接目的地(URL) ”。接着,通过策略属性查询部32取得与策略属性对应的连接条件信息(S5)。在此,通过所指定的外部认证提供商进行的密码认证,认证操作者终端10的操作者,由此取得连接条件信息(S6、S7)。然后,策略执行装置30将包含经由连接条件信息取得部34取得的连接条件信息的策略评价请求发送到策略评价装置40 (S8)。策略评价装置40当从策略执行装置30接收策略评价请求时,通过策略评价应答部44,根据策略评价请求中包含的连接条件信息和策略信息存储部41中存储的策略信息,判定是否许可操作者终端10与资源装置20的访问。该判定结果用许可(Permit)或拒绝(Deny)来表现。然后,通过策略评价应答部44判定出的判定结果作为策略评价应答被发送到策略执行装置30 (S9)。在策略执行装置30中,根据来自策略评价装置40的策略评价应答,控制操作者终端10与资源装置20的访问(S10、Sll)。此时,在许可访问的情况下,能够进行从操作者终端10向资源装置20的访问(S12)。(访问控制系统的效果)如上所述,在本实施方式的访问控制系统I中,策略执行装置30当从操作者终端10接收到访问请求时,向策略评价装置40查询与资源装置20的访问所需要的策略属性,将基于查询结果的策略评价请求发送到策略评价装置40,因此,即使在分散环境中也能够高效率地进行访问控制。作为补充说明,在现有的访问控制系统中,由于策略执行装置不具有资源装置的策略信息,因此暂定通过密码认证方式对操作者进行认证的情况较多。与此相对,根据资源装置,有时不认可基于密码认证方式的认证,而请求了基于PKI和IC卡的认证。但是,在现有的访问控制中,策略执行装置无法掌握对资源装置的访问所需要的策略属性,仅向策略评价装置查询可否访问。因此,如图8所示,发生了在策略执行装置30S取得与必要的策略属性对应的连接条件信息(=PKI+IC卡)之前,多次执行策略评价请求的事态。与此相对,在本实施方式的访问控制系统I中,策略执行装置30事前向策略评价装置40查询应该取得的策略属性,因此可以削减策略评价请求的重发等不必要的处理,能够提高策略评价处理的效率。资源装置20的策略信息变得复杂,而且构建了跨越多个域的分散环境系统。即使 在这种状况下,根据本实施方式的访问控制系统1,作为访问控制的前提,策略执行装置30向策略评价装置40查询策略属性,因此可以实现高效率的访问控制。此外,在本实施方式的访问控制系统中,作为连接条件信息而使用了认证信息,但是除此以外也能够使用操作者终端的GPS(Global Positioning System)信息或时间戳信息等来进行访问控制。〈其它〉本发明不限于上述实施方式本身,在实施阶段,在不脱离其主旨的范围内可以将构成要素变形来具体化。另外,通过上述实施方式中公开的多个构成要素的适当组合可以形成各种发明。例如,也可以从实施方式中表示的全部构成要素中删除若干构成要素。而且,也可以在不同实施方式中适当组合构成要素。并且,上述实施方式中记载的方法也可以作为计算机可执行的程序,存储在磁盘(软盘floppy disc (注册商标)、硬盘等)、光盘(⑶-R0M、DVD等)、光磁盘(MO)、半导体存储器等存储介质中来发布。另外,作为该存储介质,只要是可以存储程序、并且能够由计算机读取的存储介质,其存储形式可以是任意形态。另外,也可以由根据从存储介质安装在计算机中的程序的指示而在计算机上运行的OS (操作系统)、数据库管理软件、网络软件等MW (中间件)等执行用于实现上述实施方式的各处理的一部分。而且,上述实施方式中的存储介质不限于与计算机独立的介质,也包含下载通过LAN或因特网等传输的程序来存储或暂时存储的存储介质。另外,存储介质不限于一个,在从多个介质执行上述实施方式中的处理的情况下,也包含在上述实施方式中的存储介质中,介质结构可以是任意结构。并且,上述实施方式中的计算机根据存储介质中存储的程序执行上述实施方式中的各处理,可以是个人计算机等由I个形成的装置、对多个装置进行网络连接而构成的系统等任意结构。此外,上述实施方式中的计算机不限于个人计算机,还包含信息处理设备中包含的运算处理装置、微型计算机等,是能够通过程序实现上述实施方式的功能的设备、装置的总称。符号的说明I访问控制系统、10操作者终端、20资源装置、30策略执行装置、31访问请求接收部、32策略属性查询部、33策略属性查询生成部、34连接条件信息取得部、35策略评价请求部、36访问控制部、40策略评价装置、41 策略信息存储部、42策略属性解析部、43策略属性应答部、44策略评价应答部、50外部认证提供商。
权利要求
1.一种访问控制系统(I),其具备用于控制操作者终端(10)与资源装置(20)的访问的策略执行装置(30)以及策略评价装置(40),该访问控制系统的特征在于, 所述策略执行装置具备 访问请求接收单元(31),其从所述操作者终端接收对于所述资源装置的访问请求;策略属性查询单元(32),用于当接收到所述访问请求时,向所述策略评价装置查询与所述资源装置的访问所需的策略属性; 连接条件信息取得单元(34),用于当从所述策略评价装置接收到策略属性时,取得与该策略属性对应的连接条件信息; 策略评价请求单元(35),其当取得所述连接条件信息时,向所述策略评价装置发送包含该连接条件信息的策略评价请求;以及 访问控制单元(36),其根据针对所述策略评价请求的策略评价应答,控制所述操作者终端与所述资源装置的访问, 所述策略评价装置具备 策略信息存储单元(41),其存储表示对于所述资源装置的连接条件的策略信息; 策略属性解析单元(42),其根据所述策略信息,解析与来自所述策略执行装置的策略属性查询对应的策略属性; 策略属性应答单元(43),其对所述策略执行装置应答通过所述策略属性解析单元解析的策略属性;以及 策略评价应答单元(44),其当从所述策略执行装置接收到所述策略评价请求时,根据该策略评价请求中包含的连接条件信息和所述策略信息,向该策略执行装置发送表示是否许可所述操作者终端与所述资源装置的访问的策略评价应答。
2.根据权利要求I所述的访问控制系统,其特征在于, 所述策略执行装置还具备生成用于查询所述策略属性的策略属性查询的单元(33)。
3.根据权利要求I或2所述的访问控制系统,其特征在于, 所述策略属性查询单元查询作为所述策略属性的认证方式。
全文摘要
根据一个实施方式,访问控制系统(1),当策略执行装置(30)从操作者终端(10)接收到访问请求时,向策略评价装置(40)查询对资源装置(20)的访问所需的策略属性,将基于查询结果的策略评价请求发送给策略评价装置(40)。
文档编号G06F21/24GK102804199SQ20108002450
公开日2012年11月28日 申请日期2010年6月2日 优先权日2009年6月3日
发明者池田龙朗, 冈田光司, 山田正隆, 中沟孝则, 西泽实, 冈本利夫 申请人:株式会社东芝, 东芝解决方案株式会社