日本電気株式会社 (〒01 東京都港区芝五丁目7番1号 Tokyo, 1088001, JP)
| アクセス権の矛盾を検証するアクセス権管理方法であって、 矛盾検証の基準となる制約が対象とするアクセス権の範囲にもとづいて、アクセス権定義を含むポリシーから導出されるアクセス権に対して制約を特定する属性を付与してルール記憶手段に格納し、 前記ルール記憶手段に格納されているアクセス権同士を対象として、アクセス権を構成する値を用いた点の座標空間上の位置関係を比較することによってアクセス権の矛盾を検証する ことを特徴とするアクセス権管理方法。 |
| 座標空間上で、制約を特定する属性が付与された点のみを比較対象にする 請求項1記載のアクセス権管理方法。 |
| 生成したルールにおける制約から導出されたアクセス権と一致する他のルールがある場合に、導出されたアクセス権が単一であるときには、アクセス権の矛盾が生じていると判定する 請求項1または請求項2記載のアクセス権管理方法。 |
| 複数のサブジェクトやオブジェクトの関係に基づくSoD制約におけるアクセス権の矛盾を検証する 請求項1から請求項3のうちのいずれか1項に記載のアクセス権管理方法。 |
| アクセス権の矛盾を検証するアクセス権管理システムであって、 アクセス権定義を含むポリシーから導出されるアクセス権に対して制約を特定する属性を付与してルール記憶手段に格納し、前記ルール記憶手段に格納されているアクセス権同士を対象として、アクセス権を構成する値を用いた点の座標空間上の位置関係を比較することによってアクセス権の矛盾を検証するルール比較手段を備えた ことを特徴とするアクセス権管理システム。 |
| ルール比較手段は、座標空間上で、制約を特定する属性が付与された点のみを比較対象にする 請求項5記載のアクセス権管理システム。 |
| ルール比較手段は、生成したルールにおける制約から導出されたアクセス権と一致する他のルールがある場合に、導出されたアクセス権が単一であるときには、アクセス権の矛盾が生じていると判定する 請求項5または請求項6記載のアクセス権管理システム。 |
| ルール比較手段は、複数のサブジェクトやオブジェクトの関係に基づくSoD制約におけるアクセス権の矛盾を検証する 請求項5から請求項7のうちのいずれか1項に記載のアクセス権管理システム。 |
| アクセス権の矛盾を検証するアクセス権管理システムにおけるコンピュータに、 矛盾検証の基準となる制約が対象とするアクセス権の範囲にもとづいて、アクセス権定義を含むポリシーから導出されるアクセス権に対して制約を特定する属性を付与してルール記憶手段に格納する処理と、 前記ルール記憶手段に格納されているアクセス権同士を対象として、アクセス権を構成する値を用いた点の座標空間上の位置関係を比較することによってアクセス権の矛盾を検証する処理とを 実行させるためのアクセス権管理用プログラム。 |
本発明は、アクセス権管理方法、アクセ 権管理システムおよびアクセス権管理用プ グラムに関し、特に、アクセス権の矛盾を 証できる、アクセス権管理方法、アクセス 管理システムおよびアクセス権管理用プロ ラムに関する。
アクセス権(サブジェクト(s)、オブジェク ト(o)、アクション(a)の組)を付与する条件文 あるポリシー(s,o,aそのものやグループを用 た条件文)から個々のアクセス権を導出する クセス制御システムでは、ポリシーからで 発見できないようなアクセス権の矛盾を生 る場合がある。そのような矛盾を検出・抽 するための方法として、人手または何らか シミュレーションツールを用いて、ポリシ に基づくすべてのアクセス権の組み合わせ 列挙することで、矛盾するアクセス権を検 ・抽出する方法が考えられる。
しかし、上記の方法では、すべてのアク ス権の組み合わせを検査するため、処理に 大な時間が必要であり、現実的ではない。 た、一部でもポリシーの変更が起る度に、 べてのアクセス権の組み合わせを再び最初 ら検査しなおす必要があり、非効率的であ 。そこで、それらの問題点を改善するため アクセス権管理システムが考案されている( 特許文献1参照)。
特許文献1に記載されているアクセス権管 理システムは、客体階級データベースと、主 体階級データベースと、アクセス権制御規則 データベースと、伝播規則データベースと、 リクエスト受付部と、アクセス許可判断部と 、階級情報変換手段と、矛盾ルール検出手段 と、矛盾部分抽出手段とから構成されている 。特許文献1に記載されているアクセス権管 システムは、ロール(サブジェクトやオブジ クトのグループ)の伝播規則を前提とするこ とによって、ロールを用いて記述されたポリ シーから導出されるアクセス権の矛盾を検出 ・抽出する。
また、特許文献1に記載されているアクセ ス権管理システムの伝播規則では、サブジェ クト(主体)やオブジェクト(客体)を組織など 構成に合わせて単一のツリーで表現した際 ノードの深さをそれぞれのロールとしてい 。したがって、上位(ルート側)のロールへの アクセス拒否は下位(リーフ側)のロールに伝 し、下位のロールへのアクセス許可は上位 ロールに伝播する。このロールを用いて記 されたポリシーから導出されるアクセス権 、伝播の結果、あるサブジェクトやオブジ クトにおいて相反する場合、矛盾として検 ・抽出される。すなわち、単一のツリーで 現できるサブジェクトやオブジェクトのア セス権について、あるロールの伝播規則が ぶ範囲のみを検査することによって、検出 抽出にかかる処理時間を短縮できる。
さらに、特許文献1に記載されているアクセ
ス権管理システムでは、ポリシーの変更が起
った際に矛盾の発生するサブジェクトやオブ
ジェクトの範囲を、変化のあったポリシーが
用いているロールの影響下に限定することが
できる。そのため、変化が起る度にすべての
アクセス権を検査し直すよりも、効率的な検
出・抽出を実行できる。
しかし、特許文献1に記載されているアク セス権管理システムでは、SoD(Separation of Duty )制約のような、より複雑な関係について矛 を検出・抽出できないという問題がある。 の理由は、特許文献1に記載されているアク ス権管理システムでは、サブジェクトとオ ジェクトの各組み合わせについて、それぞ 独立して矛盾の有無を判断しているからで る。特許文献1に記載されているアクセス権 管理システムでは、ある1つのサブジェクト オブジェクトの組み合わせの中で相反する 数のアクセス権が導出されない限り矛盾と なされない。すなわち、SoD制約のように、 のサブジェクトやオブジェクトのアクセス の導出状況など、複数のサブジェクトやオ ジェクトの関係によって矛盾の有無を判断 きない。
さらに、特許文献1に記載されているアク セス権管理システムでは、単一組織のロール 伝播規則以外について、矛盾の検出・抽出を 高速かつ効率的に処理できないという問題も ある。その理由は、特許文献1に記載されて るアクセス権管理システムでは、サブジェ トやオブジェクトの関係について、深さが1 ずつ深くなる単一のツリーで表現できるこ を想定しているからである。したがって、 り一般的な関係にあるサブジェクトやオブ ェクトのグループ、例えば複数組織に基づ 複数のツリーや複数のロールに跨る兼務の うな、単一のツリー上の単一の深さで表現 きないアクセス権の組み合わせを扱うこと できない。その結果、人手やシミュレーシ ンツールによって、すべてのアクセス権を 挙し、人が見て確認することで矛盾を検出 抽出しなければならない。
そこで、本発明は、複数のサブジェクト オブジェクトの関係に基づき、SoD制約のよ な、より複雑な関係についても矛盾を検出 抽出できるアクセス権管理方法、アクセス 管理システムおよびアクセス権管理用プロ ラムを提供することを目的とする。また、 発明は、単一組織のロール伝播規則に限ら 、矛盾の検出・抽出を高速かつ効率的に処 できるアクセス権管理方法、アクセス権管 システムおよびアクセス権管理用プログラ を提供することを目的とする。
本発明によるアクセス権管理方法は、矛 検証の基準となる制約が対象とするアクセ 権の範囲にもとづいて、アクセス権定義を むポリシーから導出されるアクセス権に対 て制約を特定する属性(例えば、制約ID)を付 与してルール記憶手段に格納し、ルール記憶 手段に格納されているアクセス権同士を対象 として、アクセス権を構成する値を用いた点 (例えば、ルールに対応する座標値)の座標空 上の位置関係を比較することによってアク ス権の矛盾を検証する、ことを特徴とする
本発明によるアクセス権管理方法は、例 ば、座標空間上で、制約を特定する属性が 与された点のみを比較対象にするように構 されている。
本発明によるアクセス権管理方法は、生 したルールにおける制約から導出されたア セス権と一致する他のルールがある場合に 導出されたアクセス権が単一であるときに 、アクセス権の矛盾が生じていると判定す ように構成されていてもよい。
本発明によるアクセス権管理方法は、例 ば、複数のサブジェクトやオブジェクトの 係に基づくSoD制約におけるアクセス権の矛 を検証する。
本発明によるアクセス権管理システムは アクセス権定義を含むポリシーから導出さ るアクセス権に対して制約を特定する属性 付与してルール記憶手段に格納し、ルール 憶手段に格納されているアクセス権同士を 象として、アクセス権を構成する値を用い 3点の座標空間上の位置関係を比較すること によってアクセス権の矛盾を検証するルール 比較手段を備えたことを特徴とする。
ルール比較手段は、例えば、座標空間上 、制約を特定する属性が付与された点のみ 比較する。
ルール比較手段は、生成したルールにお る制約から導出されたアクセス権と一致す 他のルールがある場合に、導出されたアク ス権が単一であるときには、アクセス権の 盾が生じていると判定するように構成され いてもよい。
ルール比較手段は、例えば、複数のサブ ェクトやオブジェクトの関係に基づくSoD制 におけるアクセス権の矛盾を検証する。
本発明によるアクセス権管理用プログラ は、アクセス権の矛盾を検証するアクセス 管理システムにおけるコンピュータに、矛 検証の基準となる制約が対象とするアクセ 権の範囲にもとづいて、アクセス権定義を むポリシーから導出されるアクセス権に対 て制約を特定する属性を付与してルール記 手段に格納する処理と、ルール記憶手段に 納されているアクセス権同士を対象として アクセス権を構成する値を用いた点の座標 間上の位置関係を比較することによってア セス権の矛盾を検証する処理とを実行させ ことを特徴とする。
本発明によれば、SoD制約のような、より 雑な関係についても矛盾を検出・抽出でき 。また、本発明によれば、単一組織のロー 伝播規則に限らず、矛盾の検出・抽出を高 かつ効率的に処理できる。さらに、本発明 よれば、ポリシーに変更があった際にも、 べてのアクセス権を列挙して再検査するこ なく、効率的に矛盾を検出・抽出できる。
100 矛盾検証装置
200 ポリシー管理装置
300 制約管理装置
101 ルール比較手段
102 ルール格納手段
103 矛盾結果参照手段
104 矛盾結果格納手段
201 ポリシー編集手段
202 ポリシー格納手段
301 制約編集手段
302 制約格納手段
以下、本発明の実施の形態を図面を参照 て説明する。まず、本実施の形態で用いる 語について説明する。
本実施の形態における「アクセス権」は 特定のサブジェクト(s)、オブジェクト(o)お びアクション(a)の組を意味する。「アクセ 権定義」は、アクセス権そのもの、または s,o,aの列挙・グループ・範囲指定などによ 1つ以上のアクセス権を表現する正規表現や 件文である。
「ポリシー」は、アクセス権を付与する 件文である。「ポリシー」には、ポリシー 中での固有の「ポリシーID」と、アクセス 定義とが含まれる。
「ルール」は、アクセス権と、当該ルー の導出元となったポリシーのポリシーIDと 含む。あるポリシーを解釈・展開すること よって、1つ以上のルールが導出される。し がって、ルールに含まれるポリシーIDから そのルールの導出元のポリシーを特定する とができる。
「制約」は、アクセス権の矛盾を検証す 基準を指定するものである。「制約」には 制約群中での固有の「制約ID」と、制約の 理の種類を示す文字列である「制約名」と 1つ以上の「制約ドメイン」それぞれを定義 る1つ以上のアクセス権定義とが含まれる。 なお、「制約ドメイン」は、制約の対象とし て単位となるアクセス権集合(矛盾検証の基 となる制約が対象とするアクセス権の範囲) ある。ある制約に対して、1つ以上の制約ド メインが存在する。例えば、2つのアクセス 集合の両立を禁止するようなSoD制約であれ 、2つの制約ドメインが存在する。
「制約付ルール」は、制約を特定する属 が付与されたルールである。「制約付ルー 」には、ルールと、そのルールが対象とな 制約の制約IDとが含まれる。したがって、 約付ルールに含まれるポリシーIDから、その 制約付ルールの導出元のポリシーを特定する ことができる。また、制約付ルールに含まれ る制約IDから、その制約付ルールの対象とな 制約を特定することができる。
なお、本実施の形態では、制約付ルール 、座標軸として少なくともs,o,aを持つ多次 空間上に、制約付ルールに含まれるs,o,aの値 それぞれを座標値に用いてプロットした、点 として表現される。制約付ルールを多次元空 間上の点として表現する場合、その点の座標 は、多次元行列で表現される1つの要素であ 。したがって、複数の制約付ルールを、座 上の位置または行列演算を用いて比較する とができる。
「矛盾結果」は、ルールと制約との比較 結果、制約に違反していると判定した際に 力される情報である。矛盾結果には、違反 た制約の制約IDと、違反しているルールの 出元のポリシーにおけるポリシーIDと、違反 しているアクセス権とが含まれる。したがっ て、矛盾結果に含まれる制約IDから、その矛 結果の判断基準になった制約を特定するこ ができる。また、矛盾結果に含まれるポリ ーIDから、その矛盾結果で制約違反とされ ポリシーを特定することができる。
次に、本発明によるアクセス権管理シス ムを図面を参照して説明する。図1は、本発 明によるアクセス権管理システムの一構成例 を示したシステム構成図である。図1に示さ ているように、アクセス権管理システムは 矛盾検証装置100と、ポリシー管理装置200と 制約管理装置300とを備える。アクセス権管 システムは、例えばコンピュータシステム 実現される。なお、矛盾検証装置100と、ポ シー管理装置200と、制約管理装置300とは、 れぞれ別個のコンピュータシステムで構築 れていてもよいし、一部または全部が同一 コンピュータシステムで実現されていても い。
矛盾検証装置100は、ルール比較手段101と ルール格納手段102と、矛盾結果参照手段103 、矛盾結果格納手段104とを含む。また、ポ シー管理装置200は、ポリシー編集手段201と ポリシー格納手段202とを含む。そして、制 管理装置300は、制約編集手段301と、制約格 手段302とを含む。
なお、ルール比較手段101および矛盾結果 照手段103は、具体的には、プログラムに従 て動作する情報処理装置のCPUと、RAM等の記 媒体と、ポリシー管理装置200および制約管 装置300と通信を行なうための通信インタフ ースとによって実現される。また、ポリシ 編集手段201および制約編集手段301は、具体 には、プログラムに従って動作する情報処 装置のCPUと、RAM等の記憶媒体とによって実 される。さらに、ルール格納手段102、矛盾 果格納手段104、ポリシー格納手段202、およ 制約格納手段302は、具体的には、RAMやハー ディスク等の記憶媒体によって実現される
ルール比較手段101は、制約格納手段302か 制約を、ポリシー格納手段202からポリシー 読込み、ポリシーを展開したルールと制約 を比較する。また、ルール比較手段101は、 ール同士の比較が必要な制約については制 付ルールを生成してルール格納手段102に格 し、制約に違反しているルールがあれば矛 結果格納手段104に矛盾結果を格納する。ル ル比較手段101は、違反可否判定手段、属性 与手段、アクセス権矛盾判定手段、および 約識別手段を実現している。
ルール格納手段102は、ルール比較手段101 生成した制約付ルールを格納する。
矛盾結果参照手段103は、矛盾結果格納手 104から矛盾結果を読み込み、その矛盾結果 記載された制約IDを用いて制約格納手段302 ら該当する制約を検索・取得する。また、 盾結果参照手段103は、矛盾結果格納手段104 ら読み出した矛盾結果に記載されたポリシ IDを用いて、該当するポリシーを検索・取得 する機能を有している。そして、矛盾結果参 照手段103は、矛盾結果に記載されたアクセス 権と、取得した制約と、取得したポリシーと に基づいて、矛盾結果表示用のユーザ・イン ターフェイス(以下、UIと略記する)を生成・ 示する。
矛盾結果格納手段104は、ルール比較手段1 01が生成した矛盾結果を格納する。
ポリシー編集手段201は、ポリシー編集用 UIを生成・表示することにより、ポリシー 編集方法をユーザに提供する機能を有して る。具体的には、ポリシー編集手段201は、 集方法として、Webインターフェイスなどを いてポリシーの入力フォームを提供したり ポリシーというデータを直接編集するテキ トやバイナリのエディタ等を提供する。な 、ポリシー編集手段201は、ユーザの作業を 替・自動化するような別のシステムや装置 にポリシーの編集方法を提供してもよい。 リシー編集手段201は、編集内容を取得して リシーを生成し、ポリシー格納手段202に格 する。
ポリシー格納手段202は、ポリシー編集手 201が生成したポリシーを格納する。
制約編集手段301は、制約編集用のUIを生 ・表示することにより、制約の編集方法を ーザに提供する機能を有している。制約編 手段301は、編集内容を取得して制約を生成 、制約格納手段302に格納する。
なお、ルール比較手段101、矛盾結果参照 段103、ポリシー編集手段201、および制約編 手段301を実現するCPUは、共通のCPUであって よい。
次に、本実施の形態におけるアクセス権 理システムの動作を説明する。図2は、本発 明によるアクセス権管理システム全体の動作 を示すフローチャートである。図2に示され いるように、まず、ポリシー編集手段201は ユーザが所望するアクセス権設定に応じて ポリシーを生成する(ステップS100)。具体的 は、ポリシー編集手段201は、ポリシー編集 のUIを生成・表示することにより、ポリシー の編集方法をユーザに提供する。そして、編 集内容を取得することによって、ポリシーを 生成する。
次に、制約編集手段301は、矛盾がないか 検証したい制約の内容に応じて、制約を生 する(ステップS200)。具体的には、制約編集 段301は、制約編集用のUIを生成・表示する とにより、制約の編集方法をユーザに提供 る。そして、編集内容を取得することによ て、制約を生成する。
なお、制約の内容と制約との対応はあら じめ決められている。後述する「ルール同 の比較が必要なルール」は、特定の制約名 持つルールに相当する。
ルール比較手段101は、ポリシーに矛盾が いかを制約に基づいて検証し、矛盾があれ 矛盾結果として出力する(ステップS300)。具 的には、ルール比較手段101は、ポリシー管 装置20から取得したポリシーと制約管理装 30から取得した制約とを、それぞれアクセス 権に分解して比較することによって、制約の 対象となるアクセス権を決定する。さらに、 制約に基づくアクセス権の矛盾の有無を判別 して矛盾結果を出力する。出力された矛盾結 果は、矛盾結果格納手段104に格納される。
矛盾結果参照手段103は、矛盾結果に記載 れた、制約に違反しているアクセス権につ て、そのアクセス権の導出元であるポリシ と、該当する制約とを特定し、矛盾結果表 用のUIを生成・表示する(ステップS400)。具 的には、矛盾結果参照手段103は、矛盾結果 納手段104から取得した矛盾結果に記載され いるポリシーIDを用いて、ポリシー管理装置 20から該当するポリシーを検索・取得する。 盾結果参照手段103は、矛盾結果に記載され いる制約IDを用いて、制約管理装置30から該 当する制約を検索・取得する。矛盾結果参照 手段103は、取得した矛盾結果と、ポリシーと 、制約とに基づいて矛盾結果表示用のUIを生 ・表示する。
次に、図2の各ステップにおける処理をさ らに詳細に説明する。まず、ポリシー編集手 段201が行うポリシー編集処理(ステップS100に ける処理)を説明する。図3は、ポリシー編 処理における動作を示すフローチャートで る。
図3に示されているように、ポリシー編集 手段201は、まず、ポリシーの編集を行うため のUIを生成してユーザに対して編集方法を表 することによってユーザに提供する(ステッ プS101)。例えば、ポリシー編集手段201は、Web ンターフェース等を用いて、ポリシーの入 フォームをユーザに提供する。
次に、ポリシー編集手段201は、生成したU Iを利用してユーザが行った編集内容を取得 る(ステップS102)。例えば、ポリシー編集手 201は、ユーザが入力フォームに入力・選択 た値を、あらかじめ定められた文法に沿っ 並べ、ポリシーを生成する。ポリシー編集 段201は、取得した編集内容を用いてポリシ を生成し、ポリシー格納手段202に格納する( テップS103)。
次に、制約編集手段301が行う制約編集処 (ステップS200における処理)について説明す 。図4は、制約編集処理における動作を示す フローチャートである。図4に示されている うに、制約編集手段301は、まず、制約の編 を行うためのUIを生成してユーザに対して編 集方法を表示することによってユーザに提供 する(ステップS201)。また、制約編集手段301は 、生成したUIを利用してユーザが行った編集 容を取得する(ステップS202)。制約編集手段3 01は、取得した編集内容を用いて制約を生成 、制約格納手段302に格納する(ステップS203)
次に、ルール比較手段101が行うルール比 処理(ステップS300における処理)について説 する。図5は、ルール比較処理における動作 を示すフローチャートである。図5に示され いるように、ルール比較手段101は、まず、 約格納手段302から制約を取得する(ステップS 301)。例えば、ルール比較手段101は、制約格 手段302に格納されているすべての制約を読 出す。なお、制約格納手段302に格納されて る制約が多量の場合、ルール比較手段101は 制約1つを読み込んでポリシーと比較すると う処理を、制約の数だけ繰り返すように構 されていてもよい。
制約格納手段302から制約を取得すると、 ール比較手段101は、ポリシー格納手段202に 検査のポリシーが存在するかどうかの問い わせを行う(ステップS302)。ポリシー格納手 202に未検査のポリシーが無ければ、ルール 較手段101は処理を終了する(ステップS302:N)
ポリシー格納手段202に未検証のポリシー あれば(ステップS302:Y)、ルール比較手段101 、そのポリシーを読み込んでアクセス権に 解し、さらに、そのポリシーのポリシーIDを 付与してルールを生成する(ステップS303)。
ルール比較手段101は、生成したルールに 載されているアクセス権を、制約に記載さ たアクセス権定義から導出されるアクセス と比較する(ステップS304)。そして、ルール 較手段101は、制約から導出されたアクセス と一致するアクセス権を持つ他のルールの 無を判定し、アクセス権が一致するルール 抽出する(ステップS305)。アクセス権が一致 るルールが無ければ、ルール比較手段101は テップS302における処理に戻る(ステップS305: N)。
アクセス権が一致するルールがある場合( ステップS305:Y)、ルール比較手段101は、制約 種類を確認し、制約から導出されたアクセ 権と一致するアクセス権を持つルール(ステ プS305の処理で抽出されたルール)のうち、 約違反の判定においてルール同士の比較が 要なルールであるかどうかを判定する(ステ プS306)。具体的には、ルール比較手段101は ルール同士の比較が必要なルールを抽出す 。ルール同士を比較する必要がない、単一 アクセス権に対して独立して判定される(す わち、制約と一致する時点で制約違反とい る)制約に違反したルールであれば(ステッ S306:N)、ルール比較手段101は、ステップS311に おける処理に移行して矛盾結果を生成する。
ルール同士の比較が必要なルールである 判定した場合(ステップS306:Y)、ルール比較 段101は、制約に記載された制約IDと、その制 約の対象となるルールとから、制約付ルール を新規に生成し、ルール格納手段102に格納す る(ステップS307)。
ルール比較手段101は、以前に格納された 存の制約付ルールに記載されている制約ID ルール格納手段102から取得し、新規に生成 れた制約付ルールに記載されている制約IDと 比較する(ステップS308)。ルール比較手段101は 、新規に生成された制約付ルールに記載され た制約IDについて、一致する制約IDが記載さ た既存の制約付ルールが存在するかどうか 判別し(ステップS309)、制約IDが一致する既存 の制約付ルールが無ければ、ルール比較手段 101は、新規に生成された制約付ルールの導出 元のルールは制約違反ではないと判断し、ス テップS302における処理に戻る(ステップS309:N) 。
制約IDが一致する既存の制約付ルールが 在する場合、ルール比較手段101は、新規に 成された制約付ルールと、制約IDが一致する 既存の制約付ルールとについて、ルール格納 手段102からアクセス権を取得し、一致する制 約IDを持つ制約の内容に対する違反の有無を 別する(ステップS310)。違反していなければ( ステップS310:N)、ルール比較手段101は、新規 生成された制約付ルールおよび既存の制約 ルールのルール群は制約違反ではないと判 し、ステップS302における処理に戻る。
なお、制約の内容に対する違反とは、例 ば、SoD制約のような複数(2つとする)のアク ス権定義を含む制約があって、同じ1つのサ ブジェクトsがそのアクセス権定義の両方に 当することである。
ルール群が制約に違反していた場合(ステ ップS310:Y)、ルール比較手段101は、その制約 制約IDと、ルールに記載されたアクセス権と 、ポリシーIDとを用いて、矛盾結果を生成す 。ルール比較手段101は、生成した矛盾結果 矛盾結果格納手段104に格納して、ステップS 302における処理に戻る(ステップS311)。
なお、アクセス権の矛盾を検証する際、 ール比較手段101は、ポリシーから導出され ルールを、アクセス権(s,o,aの組)を多次元座 標空間上の点として扱う。例えばステップS31 0における処理を実行する際、ルール比較手 101は、制約の影響下にある点(ルール)に制約 を示す属性(制約ID)を付与し、その属性付き 点(制約付ルール)におけるサブジェクト(例 ばs)が一致するかどうかを判定する。そのよ うな方法によれば、アクセス権の関係を座標 空間上の位置関係として比較できるので、SoD 制約のような複数のサブジェクトやオブジェ クトの関係に基づく複雑な関係についても、 容易に矛盾の検出・抽出を行うことができる 。なお、ルール比較手段101は、座標空間上の 点を比較する際に、その点の座標値に対する 行列演算を用いて比較してもよい。
次に、矛盾結果参照手段103が行う矛盾結 参照処理(ステップS400における処理)につい 説明する。図6は、矛盾結果参照処理におけ る動作を示すフローチャートである。
図6に示されているように、矛盾結果参照 手段103は、まず、矛盾結果格納手段104から、 矛盾結果を取得する(ステップS401)。矛盾結果 参照手段103は、取得した矛盾結果に記載され ている制約IDを用いて、制約格納手段302から その制約IDに該当する制約を検索し、取得 る(ステップS402)。
制約格納手段302から制約を取得すると、 盾結果参照手段103は、取得した矛盾結果に 載されているポリシーIDを用いて、ポリシ 格納手段202から、そのポリシーIDに該当する ポリシーを検索し、取得する(ステップS403)。 矛盾結果参照手段103は、取得した矛盾結果に 対して、取得した制約と取得したポリシーと に詳細な情報を付与し、矛盾結果表示用のUI 生成してユーザに対して表示する(ステップ S404)。例えば、矛盾結果参照手段103は、取得 た制約とポリシーの内容から、必要な部分 取り出してテーブルとして表示したり、単 に併記して表示したりする。
以上のように、本実施の形態におけるア セス権管理システムは、制約の対象となる クセス権のうち、単一のアクセス権では矛 の有無を判定できないものについて、制約 ルールとしてルール格納手段102に格納する そして、ルール比較手段101が複数の制約付 ールに含まれるアクセス権同士を比較する うに構成されているため、例えばSoD制約の うな複数のサブジェクトやオブジェクトの 係に基づく複雑な関係についても、矛盾の 出・抽出を行うことができる。
具体的には、本実施の形態におけるアク ス権管理システムのように、ポリシーから 出されるルールをアクセス権(s,o,aの組)を用 いた点として座標空間上にプロットし、制約 の影響下にある点には制約を示す属性を付与 すれば、SoD制約のような、より複雑な関係に ついても矛盾を検出・抽出できる。すなわち 、アクセス権の関係を座標空間上の位置関係 として比較することで、SoD制約のような複数 のサブジェクトやオブジェクトの関係に基づ く複雑な関係についても、容易に矛盾の検出 ・抽出を行うことができる。
また、本実施の形態におけるルール比較 段101は、さらに、矛盾の検出・抽出に必要 アクセス権の比較処理を、ルール格納手段1 02に格納された同じ制約IDを持つルールのみ 限定しているので、ポリシーの変更があっ 際も、そのポリシーが制約の影響下にある きのみ比較すればよく、比較対象となるア セス権も該当する制約に関わるもののみを 査すればよいことになる。すなわち、本発 によるアクセス権管理システムは、単一組 のロール伝播規則に限らず、すべてのアク ス権を列挙して再検査することなく、効率 に矛盾を検出・抽出することできる。
換言すれば、矛盾の検出・抽出に必要な クセス権の比較処理を、座標空間上で行い 制約を示す属性の付与された点のみに限定 るため、単一組織のロール伝播規則に限ら 、矛盾の検出・抽出を高速かつ効率的に処 できる。そうすることで、比較処理は単に 標同士の比較でよくなり、制約と無関係な については比較処理を省くことができる。
本発明は、アクセス権の矛盾の検証に適 できる。特に、本発明は、SoD制約のような 複数のサブジェクトやオブジェクトの関係 基づく制約を対象としてアクセス権の矛盾 証を行うアクセス権管理システムに好適に 用できる。