访问控制装置以及存储介质.pdf

本发明提供一种访问控制装置以及存储介质，根据实施方式，上述访问控制装置具备保留单元、决定请求生成单元、访问决定单元以及解除单元。当资源访问事件开始时，上述保留单元在资源访问单元的访问之前保留上述资源访问事件。上述决定请求生成单元在其保留过程中从上述资源访问单元获取访问请求，生成包括该访问请求的访问决定请求。当接受了上述访问决定请求和访问控制策略时，上述访问决定单元通过该访问控制策略内的禁止型策略从属性管理单元获取属性信息，根据该属性信息和禁止型策略来决定上述访问的允许和拒绝。上述解除单元在上述访问决定应答内的决定结果表示允许时，如果在该访问决定应答内不存在任务型策略，则解除上述保留。

权利要求书一种存储介质，是非临时的计算机可读取的存储介质，存储了访问控制程序，该访问控制程序通过访问控制装置的处理器来执行，该访问控制装置具备属性管理单元、第一策略存储单元以及第二策略存储单元，并且控制向由控制对象的文档文件或者动作执行部构成的资源的访问，该存储介质的特征在于，
上述访问控制程序具备：
第一程序代码，其使上述处理器执行以下处理：将至少单独包括当前日期的值和访问主体标识符的值的多个属性信息更新写入到上述属性管理单元；
第二程序代码，其使上述处理器执行以下处理：将一个以上的访问控制策略写入到上述第一策略存储单元，该一个以上的访问控制策略包括禁止型策略和任务型策略，其中，该禁止型策略预先分别描述属性条件以及任一个属性信息的获取处，而在从作为上述获取处的属性管理单元获取到的属性信息满足上述属性条件的情况下表示允许，在不表示上述允许的情况下表示拒绝，任务型策略在表示上述允许时使用，描述了包括任务执行主体、任务行为以及下一级的访问控制策略的指定的任务信息；
第三程序代码，其使上述处理器执行以下处理：将访问控制策略写入到上述第二策略存储单元，该访问控制策略是任一个任务信息指定的访问控制策略，并且包括禁止型策略而不包括任务型策略，其中，禁止型策略预先描述包括资源标识符的值、行为标识符的值以及访问主体标识符的值的属性条件和从访问决定请求读出的资源标识符和行为标识符以及从上述属性管理单元读出的访问主体标识符，而在读出的该资源标识符的值、行为标识符的值以及访问主体标识符的值与该属性条件一致的情况下表示允许，在不表示该允许的情况下表示拒绝；
第四程序代码，其使上述处理器执行以下请求接受处理：接受包括表示上述资源的资源标识符的值以及表示针对上述资源的访问请求内容的行为标识符的值的访问请求；
第五程序代码，其使上述处理器执行以下访问事件开始处理：根据接受到的该访问请求，开始用于访问上述资源的资源访问事件；
第六程序代码，其使上述处理器执行以下资源访问处理：如果没有保留或者删除开始的上述资源访问事件，则根据上述访问请求，对上述资源进行访问；
第七程序代码，其使上述处理器执行以下保留处理：当上述资源访问事件开始时，在上述资源访问处理的访问之前保留上述资源访问事件；
第八程序代码，其使上述处理器执行以下决定请求生成处理：在其保留过程中，从上述资源访问处理获取访问请求，生成包括该访问请求的访问决定请求；
第九程序代码，其使上述处理器执行以下策略获取处理：在生成上述访问决定请求时，获取预先与上述属性管理单元内的资源标识符相关联地指定的初级访问控制策略或者对前级的访问控制策略指定的下一级的访问控制策略；
第十程序代码，其使上述处理器执行以下第一送出处理：送出上述生成的访问决定请求和上述获取到的访问控制策略；
第十一程序代码，其使上述处理器执行以下访问决定处理：当接受上述送出的访问决定请求和访问控制策略时，通过该访问控制策略内的禁止型策略从上述属性管理单元获取属性信息，根据该属性信息和禁止型策略来决定上述访问的允许或者拒绝；
第十二程序代码，其使上述处理器执行以下第二送出处理：送出生成的访问决定应答，该决定应答被生成为包括上述决定的结果，且如果在该决定时使用的访问控制策略内存在任务型策略则还包括该任务型策略；
第十三程序代码，其使上述处理器执行以下第三送出处理：在该访问决定应答内的决定的结果表示允许时，如果在该访问决定应答内存在任务型策略，则送出包括该任务型策略内的任务信息的任务执行请求；
第十四程序代码，其使上述处理器执行以下任务执行请求处理：对该任务执行请求内的任务信息所指定的任务执行主体，送出包括该任务信息内的任务行为的任务行为执行请求；
第十五程序代码，其使上述处理器执行以下作为上述任务执行主体的访问主体认证处理：根据该任务行为执行请求，将从访问主体获取到的访问主体标识符的值和访问主体认证信息与预先设定的访问主体标识符的值和访问主体认证信息进行比较，当两者一致时，将上述访问主体认证为合法；
第十六程序代码，其使上述处理器执行以下第四送出处理：在上述两者一致而认证成功时，将在上述认证时使用的访问主体标识符的值写入到上述属性管理单元，并且送出表示任务执行的成功的任务执行结果，在上述两者不一致而认证失败时，送出表示任务执行失败的任务执行结果；
第十七程序代码，其使上述处理器执行以下指定处理：在该任务执行结果表示成功时，根据上述访问决定应答内的任务型策略的任务信息，将下一级的访问控制策略指定为上述策略获取处理；
第十八程序代码，其使上述处理器执行以下解除处理：在上述送出的访问决定应答内的决定的结果表示允许时，如果在该访问决定应答内不存在任务型策略，则解除上述保留；以及
第十九程序代码，其使上述处理器执行以下删除处理：在上述送出的访问决定应答内的决定的结果表示拒绝时或者上述任务执行结果表示失败时，删除上述保留的资源访问事件。
一种存储介质，是非临时的计算机可读取的存储介质，存储了访问控制程序，该访问控制程序通过访问控制装置的处理器来执行，该访问控制装置具备属性管理单元、第一策略存储单元以及第二策略存储单元，并且控制向由控制对象的文档文件或者动作执行部构成的资源的访问并且通过能够与外部装置进行通信，该存储介质的特征在于，
上述访问控制程序具备：
第一程序代码，其使上述处理器执行以下处理：将至少单独包括当前日期的值和访问主体标识符的值的多个属性信息更新写入到上述属性管理单元；
第二程序代码，其使上述处理器执行以下处理：将一个以上的访问控制策略写入到上述第一策略存储单元，该一个以上的访问控制策略包括禁止型策略和任务型策略，其中，该禁止型策略预先分别描述属性条件以及任一个属性信息的获取处，而在从作为上述获取处的属性管理单元获取到的属性信息满足上述属性条件的情况下表示允许，在不表示上述允许的情况下表示拒绝，该任务型策略在表示上述允许时使用，描述了包括任务执行主体、任务行为以及下一级的访问控制策略的指定的任务信息；
第三程序代码，其使上述处理器执行以下处理：将访问控制策略写入到上述第二策略存储单元，该访问控制策略是任一个任务信息指定的访问控制策略，并且包括禁止型策略而不包括任务型策略，其中，禁止型策略预先描述包括资源标识符的值、行为标识符的值以及访问主体标识符的值的属性条件和从访问决定请求读出的资源标识符和行为标识符以及从上述属性管理单元读出的访问主体标识符，而在读出的该资源标识符的值、行为标识符的值以及访问主体标识符的值与该属性条件一致的情况下表示允许，在不表示该允许的情况下表示拒绝；
第四程序代码，其使上述处理器执行以下请求接受处理：接受包括表示上述资源的资源标识符的值以及表示针对上述资源的访问请求内容的行为标识符的值的访问请求；
第五程序代码，其使上述处理器执行以下访问事件开始处理：根据接受的该访问请求，开始用于访问上述资源的资源访问事件；
第六程序代码，其使上述处理器执行以下资源访问处理：如果没有保留或者删除开始的上述资源访问事件，则根据上述访问请求，对上述资源进行访问；
第七程序代码，其使上述处理器执行以下保留处理：当上述资源访问事件开始时，在上述资源访问处理的访问之前保留上述资源访问事件；
第八程序代码，其使上述处理器执行以下处理：在上述资源访问事件的保留过程中，从上述资源访问处理获取访问请求；
第九程序代码，其使上述处理器执行以下策略获取处理：在获取上述访问请求时，获取预先与上述属性管理单元内的资源标识符相关联地指定的初级访问控制策略或者对前级的访问控制策略指定的下一级的访问控制策略；
第十程序代码，其使上述处理器执行以下处理：通过获取到的该访问控制策略内的禁止型策略从上述属性管理单元获取属性信息，生成包括该属性信息和访问请求的访问决定请求；
第十一程序代码，其使上述处理器执行以下第一送出处理：将上述生成的访问决定请求和上述获取到的访问控制策略送出到上述外部装置；
第十二程序代码，其使上述处理器执行以下第三送出处理：在执行访问决定处理和第二送出处理的情况下，在从上述外部装置接受到的访问决定应答内的决定的结果表示允许时，如果在该访问决定应答内存在任务型策略，则送出包括该任务型策略内的任务信息的任务执行请求，其中，该访问决定处理当上述外部装置接受上述访问决定请求和上述访问控制策略时，根据该访问决定请求内的属性信息和该访问控制策略内的禁止型策略来决定上述访问的允许或者拒绝，该第二送出处理将访问决定应答送出到上述访问控制装置，该访问决定应答以以下方式生成：包括上述决定的结果，并且如果在该决定时使用的访问控制策略内存在任务型策略则进一步包括该任务型策略；
第十三程序代码，其使上述处理器执行以下任务执行请求处理：对该任务执行请求内的任务信息所指定的任务执行主体，送出包括该任务信息内的任务行为的任务行为执行请求；
第十四程序代码，其使上述处理器执行以下作为上述任务执行主体的访问主体认证处理：根据该任务行为执行请求，将从访问主体获取到的访问主体标识符的值和访问主体认证信息与预先设定的访问主体标识符的值和访问主体认证信息进行比较，当两者一致时，将上述访问主体认证为合法；
第十五程序代码，其使上述处理器执行以下第四送出处理：在上述两者一致而认证成功时，将在上述认证时使用的访问主体标识符的值写入到上述属性管理单元并且送出表示任务执行的成功的任务执行结果，在上述两者不一致而认证失败时，送出表示任务执行的失败的任务执行结果；
第十六程序代码，其使上述处理器执行以下指定处理：在该任务执行结果表示成功时，根据上述访问决定应答内的任务型策略的任务信息，将下一级的访问控制策略指定为上述策略获取处理；
第十七程序代码，其使上述处理器执行以下解除处理：在上述送出的访问决定应答内的决定的结果表示允许时，如果在该访问决定应答内不存在任务型策略，则解除上述保留；以及
第十八程序代码，其使上述处理器执行以下删除处理：在上述送出的访问决定应答内的决定的结果表示拒绝时或者上述任务执行结果表示失败时，删除上述保留的资源访问事件。
一种访问控制装置，控制向由控制对象的文档文件或者动作执行部构成的资源的访问，其特征在于，具备：
属性管理单元，其用于更新存储至少单独包括当前日期的值和访问主体标识符的值的多个属性信息；
第一策略存储单元，其存储包括禁止型策略和任务型策略的一个以上的访问控制策略，其中，该禁止型策略预先分别描述属性条件和任一个属性信息的获取处，在从作为上述获取处的属性管理单元获取到的属性信息满足上述属性条件的情况下表示允许，在不表示上述允许的情况下表示拒绝，该任务型策略在表示上述允许时使用，描述了包括任务执行主体、任务行为以及下一级的访问控制策略的指定的任务信息；
第二策略存储单元，其存储访问控制策略，该访问控制策略是任一个任务信息指定的访问控制策略，并且包括禁止型策略而不包括任务型策略，其中，禁止型策略预先描述包括资源标识符的值、行为标识符的值以及访问主体标识符的值的属性条件和从访问决定请求读出的资源标识符和行为标识符以及从上述属性管理单元读出的访问主体标识符，而在读出的该资源标识符的值、行为标识符的值以及访问主体标识符的值与该属性条件一致的情况下表示允许，在不表示该允许的情况下表示拒绝；
请求接受单元，其接受包括表示上述资源的资源标识符的值以及表示对上述资源的访问请求内容的行为标识符的值的访问请求；
访问事件开始单元，其根据接受到的该访问请求，开始用于对上述资源进行访问的资源访问事件；
资源访问单元，其如果没有保留或者删除开始的上述资源访问事件，则根据上述访问请求，对上述资源进行访问；
保留单元，其当上述资源访问事件开始时，在上述资源访问单元的访问之前保留上述资源访问事件；
决定请求生成单元，其在其保留过程中，从上述资源访问单元获取访问请求，生成包括该访问请求的访问决定请求；
策略获取单元，其在生成上述访问决定请求时，获取预先与上述属性管理单元内的资源标识符相关联地指定的初级访问控制策略或者对前级的访问控制策略指定的下一级的访问控制策略；
第一送出单元，其送出上述生成的访问决定请求和上述获取到的访问控制策略；
访问决定单元，其当接受上述送出的访问决定请求和访问控制策略时，通过该访问控制策略内的禁止型策略从上述属性管理单元获取属性信息，根据该属性信息和禁止型策略来决定上述访问的允许或者拒绝；
第二送出单元，其送出访问决定应答，该访问决定应答以以下方式生成：包括上述决定的结果，并且如果在该决定时使用的访问控制策略内存在任务型策略则进一步包括该任务型策略；
第三送出单元，其在该访问决定应答内的决定的结果表示允许时，如果在该访问决定应答内存在任务型策略，则送出包括该任务型策略内的任务信息的任务执行请求；
任务执行请求单元，其对该任务执行请求内的任务信息所指定的任务执行主体，送出包括该任务信息内的任务行为的任务行为执行请求；
作为上述任务执行主体的访问主体认证单元，其根据该任务行为执行请求，将从访问主体获取到的访问主体标识符的值和访问主体认证信息与预先设定的访问主体标识符的值和访问主体认证信息进行比较，当两者一致时，将上述访问主体认证为合法；
第四送出单元，其在上述两者一致而认证成功时，将上述认证时使用的访问主体标识符的值写入到上述属性管理单元并且送出表示任务执行的成功的任务执行结果，在上述两者不一致而认证失败时，送出表示任务执行的失败的任务执行结果；
指定单元，其在该任务执行结果表示成功时，根据上述访问决定应答内的任务型策略的任务信息，将下一级的访问控制策略指定为上述策略获取单元；
解除单元，其在上述送出的访问决定应答内的决定的结果表示允许时，如果在该访问决定应答内不存在任务型策略，则解除上述保留；以及
删除单元，其在上述送出的访问决定应答内的决定的结果表示拒绝或者上述任务执行结果表示失败时，删除上述保留的资源访问事件。
一种访问控制装置，控制向由控制对象的文档文件或者动作执行部构成的资源的访问并且能够与外部装置进行通信，其特征在于，具备：
属性管理单元，其用于更新存储至少单独包括当前日期的值和访问主体标识符的值的多个属性信息；
第一策略存储单元，其存储包括禁止型策略和任务型策略的一个以上的访问控制策略，其中，该禁止型策略预先分别描述属性条件和任一个属性信息的获取处，在从作为上述获取处的属性管理单元获取到的属性信息满足上述属性条件的情况下表示允许，在不表示上述允许的情况下表示拒绝，该任务型策略在表示上述允许时使用，描述了包括任务执行主体、任务行为以及下一级的访问控制策略的指定的任务信息；
第二策略存储单元，其存储访问控制策略，该访问控制策略是任一个任务信息指定的访问控制策略，并且包括禁止型策略而不包括任务型策略，其中，禁止型策略预先描述包括资源标识符的值、行为标识符的值以及访问主体标识符的值的属性条件和从访问决定请求读出的资源标识符和行为标识符以及从上述属性管理单元读出的访问主体标识符，而在读出的该资源标识符的值、行为标识符的值以及访问主体标识符的值与该属性条件一致的情况下表示允许，在不表示该允许的情况下表示拒绝；
请求接受单元，其接受包括表示上述资源的资源标识符的值以及表示对上述资源的访问请求内容的行为标识符的值的访问请求；
访问事件开始单元，其根据接受到的该访问请求，开始用于对上述资源进行访问的资源访问事件；
资源访问单元，其如果没有保留或者删除开始的上述资源访问事件，则根据上述访问请求，对上述资源进行访问；
保留单元，其当上述资源访问事件开始时，在上述资源访问单元的访问之前保留上述资源访问事件；
获取单元，其在上述资源访问事件的保留过程中，从上述资源访问单元获取访问请求；
策略获取单元，其在获取上述访问请求时，获取预先与上述属性管理单元内的资源标识符相关联地指定的初级访问控制策略或者对前级的访问控制策略指定的下一级的访问控制策略；
生成单元，其通过获取到的该访问控制策略内的禁止型策略从上述属性管理单元获取属性信息，生成包括该属性信息和访问请求的访问决定请求；
第一送出单元，其送出上述生成的访问决定请求和上述获取到的访问控制策略；
第三送出单元，其在执行决定处理和第二送出处理的情况下，在从上述外部装置接受到的访问决定应答内的决定的结果表示允许时，如果在该访问决定应答内存在任务型策略，则送出包括该任务型策略内的任务信息的任务执行请求，其中，该决定处理当上述外部装置接受上述访问决定请求和上述访问控制策略时，根据该访问决定请求内的属性信息和该访问控制策略内的禁止型策略来决定上述访问的允许或者拒绝，该第二送出处理送出访问决定应答，该访问决定应答以以下方式生成：包括上述决定的结果，并且如果在该决定时使用的访问控制策略内存在任务型策略则进一步包括该任务型策略；
任务执行请求单元，其对该任务执行请求内的任务信息所指定的任务执行主体，送出包括该任务信息内的任务行为的任务行为执行请求；
作为上述任务执行主体的访问主体认证单元，其根据该任务行为执行请求，将从访问主体获取到的访问主体标识符的值和访问主体认证信息与预先设定的访问主体标识符的值和访问主体认证信息进行比较，当两者一致时，将上述访问主体认证为合法；
第四送出单元，其在上述两者一致而认证成功时，将在上述认证时使用的访问主体标识符的值写入到上述属性管理单元并且送出表示任务执行的成功的任务执行结果，在上述两者不一致而认证失败时，送出表示任务执行的失败的任务执行结果；
指定单元，其在该任务执行结果表示成功时，根据上述访问决定应答内的任务型策略的任务信息，将下一级的访问控制策略指定为上述策略获取单元；
解除单元，其在上述送出的访问决定应答内的决定的结果表示允许时，如果在该访问决定应答内不存在任务型策略，则解除上述保留；以及
删除单元，其在上述送出的访问决定应答内的决定的结果表示拒绝时或者上述任务执行结果表示失败时，删除上述保留的资源访问事件。

说明书访问控制装置以及存储介质
技术领域
本发明的实施方式涉及访问控制装置以及存储介质。
背景技术
近年来，根据权限信息来控制特定的信息、动作的访问控制技术的重要性提高。例如，是否允许动作形式的访问控制广泛利用。
在是否允许动作形式的访问控制中例如存在将对文档文件的权限信息设为安全属性的方式。在该方式中，以“阅览允许”、“编辑允许”等是否允许动作形式来描述对文档文件的权限信息，将权限信息分配至用户。可知这种权限信息作为访问控制矩阵(Access Control Matrix：存取控制矩阵)、访问控制表(Access Control List)。
然而，在是否允许动作形式的访问控制中，如允许的访问时间、访问位置等条件、详细的功能限制等那样，难以详细而灵活地描述访问控制内容。
因此，近年来，不仅利用是否允许动作形式，还利用访问控制策略形式的访问控制。访问控制策略是访问控制规则的集合，公开了标准的描述规格。在访问控制策略形式的访问控制中，能够详细描述判断基准的条件、功能限制。由此，在访问控制策略形式的访问控制中，当接受向信息的访问请求时，从访问请求者获取各种属性信息而与判断基准的条件进行比较，判断是否可以打开文件，能够进行限制于访问控制策略中规定的功能等的控制。通常，这种技术被称为数字权利管理(Digital Rights Management)。
专利文献1：日本特开2001‑306521号公报
非专利文献1：Tim Moses、”eXtensible Access Control Markup Language(XACML)Version 2.0“、[online]、[2007年5月17日搜索]、因特网<URL:http://docs.oasis‑open.org/xacml/2.0/access_control‑xacml‑2.0‑core‑spec‑os.pdf>
发明内容
发明要解决的问题
然而，获取各种属性信息的机构通常与访问控制机构独立。例如，使用者认证等也是属性信息获取的一部分，但是在较多的情况下，与访问控制策略除外，使用用于决定访问主体的认证方式的认证策略。
另一方面，当前，要求属性信息的选择性。当例举认证时，要求从各种认证要素、认证方式以及认证执行者中选择属性信息，根据实施的认证，变更访问主体的权限。例如，有时根据访问控制对象的资源的重要度，变更认证的方式、等级。除了与使用者的认证有关的属性信息以外，还有时根据与对服务的连接方式、连接位置、连接时间这种环境有关的属性信息，变更访问主体的权限。
然而，决定要获取的属性信息的方法通常黯然地设为已知。另外，在访问控制的结构中，在很多情况下仅执行一次访问决定。在该情况下，当将要获取的属性信息黯然地设为已知时，获取有可能访问决定所需的全部属性信息，没有效率。
另外，在禁止多个认证处理的同时认证状态的情况等、存在排他且选择性的多个属性信息的情况下，无法获取非选择的属性信息，无法执行访问决定。
因此，在信息系统中，在存在排他且选择性的多个属性信息的情况下，硬直且限制性地选择属性信息而执行访问决定，由此省略与非选择的属性信息有关的认证，执行简化的访问控制。然而，简化的访问控制还导致提高信息的泄露、损坏这种风险。
本发明要解决的问题在于提供在存在排他且选择性的多个属性信息的情况下也能够有效地实现详细的访问控制的访问控制装置以及存储介质。
用于解决问题的方案
实施方式的访问控制装置控制向由控制对象的文档文件或者动作执行部构成的资源的访问。上述访问控制装置具备属性管理单元、第一策略存储单元、第二策略存储单元、请求接受单元、访问事件开始单元、资源访问单元、保留单元、决定请求生成单元、策略获取单元、第一送出单元、访问决定单元、第二送出单元、第三送出单元、任务执行请求单元、访问主体认证单元、第四送出单元、指定单元、解除单元以及删除单元。
上述属性管理单元更新存储至少单独包括当前日期的值和访问主体标识符的值的多个属性信息。
上述第一策略存储单元存储包括禁止型策略和任务型策略的一个以上的访问控制策略，其中，该禁止型策略预先分别描述属性条件以及任一个属性信息的获取处，而在从作为上述获取处的属性管理单元获取到的属性信息满足上述属性条件的情况下表示允许，在不表示上述允许的情况下表示拒绝，任务型策略在表示上述允许时使用，描述了包括任务执行主体、任务行为以及下一级的访问控制策略的指定的任务信息。
上述第二策略存储单元存储访问控制策略，该访问控制策略是任一个任务信息指定的访问控制策略，并且包括禁止型策略而不包括任务型策略，其中，禁止型策略预先描述包括资源标识符的值、行为标识符的值以及访问主体标识符的值的属性条件和从访问决定请求读出的资源标识符和行为标识符以及从上述属性管理单元读出的访问主体标识符，而在读出的该资源标识符的值、行为标识符的值以及访问主体标识符的值与该属性条件一致的情况下表示允许，在不表示该允许的情况下表示拒绝。
上述请求接受单元接受包括表示上述资源的资源标识符的值以及表示对上述资源的访问请求内容的行为标识符的值的访问请求。
上述访问事件开始单元根据接受到的该访问请求，开始用于对上述资源进行访问的资源访问事件。
如果没有保留或者删除上述开始的资源访问事件，则上述资源访问单元根据上述访问请求，对上述资源进行访问。
当上述资源访问事件开始时，上述保留单元在上述资源访问单元的访问之前保留上述资源访问事件。
上述决定请求生成单元在其保留过程中，从上述资源访问单元获取访问请求，生成包括该访问请求的访问决定请求。
上述策略获取单元在生成上述访问决定请求时，获取预先与上述属性管理单元内的资源标识符相关联地指定的初级访问控制策略或者对前级的访问控制策略指定的下一级的访问控制策略。
上述第一送出单元送出上述生成的访问决定请求和上述获取到的访问控制策略。
当接受上述送出的访问决定请求和访问控制策略时，上述访问决定单元通过该访问控制策略内的禁止型策略从上述属性管理单元获取属性信息，根据该属性信息和禁止型策略来决定上述访问的允许或者拒绝。
上述第二送出单元送出访问决定应答，该访问决定应答以以下方式生成：包括上述决定的结果，并且如果在该决定时使用的访问控制策略内存在任务型策略则进一步包括该任务型策略。
上述第三送出单元在该访问决定应答内的决定的结果表示允许时，如果在该访问决定应答内存在任务型策略，则送出包括该任务型策略内的任务信息的任务执行请求。
上述任务执行请求单元对该任务执行请求内的任务信息所指定的任务执行主体，送出包括该任务信息内的任务行为的任务行为执行请求。
作为上述任务执行主体的上述访问主体认证单元根据该任务行为执行请求，将从访问主体获取到的访问主体标识符的值和访问主体认证信息与预先设定的访问主体标识符的值和访问主体认证信息进行比较，当两者一致时，将上述访问主体认证为合法。
上述第四送出单元在上述两者一致而认证成功时，将在上述认证时使用的访问主体标识符的值写入到上述属性管理单元并且送出表示任务执行的成功的任务执行结果，在上述两者不一致而认证失败时，送出表示任务执行的失败的任务执行结果。
上述指定单元在该任务执行结果表示成功时，根据上述访问决定应答内的任务型策略的任务信息，将下一级的访问控制策略指定为上述策略获取单元。
上述解除单元在上述送出的访问决定应答内的决定的结果表示允许时，如果在该访问决定应答内不存在任务型策略，则解除上述保留。
上述删除单元在上述送出的访问决定应答内的决定的结果表示拒绝或者上述任务执行结果表示失败时，删除上述保留的资源访问事件。
附图说明
图1是表示第一实施方式所涉及的访问控制装置及其周边结构的示意图。
图2是表示该实施方式中的访问决定请求的结构例的示意图。
图3是表示该实施方式中的访问控制策略的结构例的示意图。
图4是表示该实施方式中的初级访问控制策略的结构例的示意图。
图5是表示该实施方式中的初级访问控制策略的结构例的示意图。
图6是表示该实施方式中的访问决定请求的变形例的示意图。
图7是表示该实施方式中的最终级的访问控制策略的结构例的示意图。
图8是表示该实施方式中的最终级的访问控制策略的结构例的示意图。
图9是用于说明该实施方式中的动作的示意图。
图10是用于说明该实施方式中的动作的示意图。
图11是用于说明该实施方式中的变形例的示意图。
图12是表示第二实施方式所涉及的访问控制装置及其周边结构的示意图。
图13是用于说明该实施方式中的动作的示意图。
图14是用于说明该实施方式中的变形例的示意图。
具体实施方式
下面，使用附图说明各实施方式，但是在这之前说明各实施方式的概要。与各实施方式共通的概要涉及控制对象的文档文件或者由动作执行部构成的控制向资源的访问的访问控制装置。如后述的图3、图11或者图14所示，访问控制装置具备存储器，该存储器存储具有禁止型策略和任务型策略的第一级至第(n‑1)级(其中，2≤n)的访问控制策略以及具有禁止型策略而不具有任务型策略的第n级访问控制策略。此外，禁止型策略是“对访问主体(subject)，允许(或者禁止)对资源(resource)的行为(action)”这种形式的规则集合。“允许或者禁止”表示对行为的请求的效果(effect)，也可以是对“允许或者禁止”以外的任意行为请求的效果。任务型策略是“在条件成立的情况下执行任务内容”这种形式的规则集合。在条件成立的情况下，在此作为禁止型策略被允许的情况。根据主体(subject)、资源(resource)、行为(action)、补充(complement)等来定义任务内容。
当接受对资源的访问请求时，访问控制装置执行以下工序(i)~(iii)，在级数n超过2的情况下，进一步反复执行工序(ii)~(iii)，最后执行工序(iv)。
(i)第一级访问决定工序，根据预先指定的第一级访问控制策略内的禁止型策略，即根据预先描述的属性条件以及从预先描述的获取处获取到的属性信息而与该属性信息是否满足属性条件相应地表示访问的允许或者拒绝的意思的禁止型策略，决定该访问的允许或者拒绝。
(ii)一个以上的策略获取工序，在通过第一级至第(n‑1)级各级的访问决定工序决定的结果表示允许时，获取在该决定时使用的访问控制策略内的任务型策略指定的下一级访问控制策略。
(iii)第二级以后的各级的访问决定工序，根据获取到的第二级以后的各级的访问控制策略内的禁止型策略，即根据预先描述的属性条件以及从预先描述的获取处获取到的属性信息而与该属性信息是否满足属性条件相应地表示访问的允许或者拒绝的意思的禁止型策略，决定该访问的允许或者拒绝。
(iv)执行工序，在通过第二级以后各级的访问决定工序中的、最终级的访问决定工序决定的结果表示允许时，执行对资源的访问。
以上为与各实施方式共通的概要。根据这种概要的各实施方式，通过阶梯式地执行属性信息的获取和访问决定的结构，即使在存在排他且选择性的多个属性信息的情况下，也能够有效地实现详细的访问控制。此外，“访问决定”的术语也可以被称为策略评价。在此，如后述的图9和图13所示，第一和第二实施方式是获取属性信息的时机和变更了功能部的实施方式。
另外，硬件结构或者硬件资源与软件的组合结构中的任一个均能够实施各实施方式的访问控制装置。如图1和图12所示，作为组合结构的软件，预先从网络或者非临时的计算机可读取的存储介质(non‑transitorycomputer‑readable storage medium)M被安装到计算机，使该计算机的处理器执行，由此使用用于使该计算机实现访问控制装置的功能的访问控制程序。这与第二实施方式的外部装置等也相同。
接着，具体地说明各实施方式。此外，在各实施方式中，为了使说明简单，作为代表例举例说明级数n=2的情况。
<第一实施方式>
图1是表示第一实施方式所涉及的访问控制装置及其周边结构的示意图。访问对象的资源管理装置10与访问控制装置20相连接。访问控制装置20具备接口部(interface unit)21、资源访问部22、访问控制执行部23、访问决定部24、属性管理部25、访问控制策略获取部26、访问控制策略存储部27、属性更新任务执行部28以及访问主体认证任务执行部29。
在此，资源管理装置10是管理控制对象的文档文件或者由动作执行部构成的资源的装置，在资源为文档文件的情况下相当于存储了该文档文件的存储装置，在资源为动作执行部的情况下相当于具备该动作执行部的动作执行装置。在此，设为资源为文档文件。此外，动作执行部例如是通过锁门以及解除锁来用于执行门开闭等的动作的功能部，门本身可以是自动门也可以是手动门。
访问控制装置20通过访问主体来操作的端末装置。在此，设为访问主体为一般的操作者。但是，并不限定于此，访问主体也可以是执行访问控制装置20内的应用程序的CPU或者从外部装置输入的电文。换言之，访问主体是通过访问控制装置20来实现向资源的访问的操作者、功能部或者外部装置。在此，访问是指资源的生成、阅览、更新、删除、复制等操作。
接口部21是访问主体与访问控制装置20内部的输入输出接口，具有以下功能：接受由访问主体通过输入部(未图示)的操作来输入的、包括表示资源的资源标识符的值以及表示对资源的访问请求内容的行为标识符的值的访问请求的功能；以及对访问主体输出从资源访问部22接受的访问结果的功能。优选举出GUI(Graphical User Interface：图像用户接口)、CUI(Commandline UserInterface：命令行用户接口)等，但是并不限定于此，能够使用任意的接口方式。另外，接口部21也可以具有由访问主体通过输入部(未图示)的操作将属性信息写入到属性管理部25的功能、将访问控制策略写入到访问控制策略存储部27的功能、将访问主体认证信息写入到存储部(未图示)的功能这样预先写入信息的功能。
资源访问部22是根据由接口部21接受到的访问请求来用于访问资源的功能部，具有以下功能：根据该访问请求来开始用于对资源进行访问的资源访问事件的功能；以及如果没有保留或者删除开始的资源访问事件则根据访问请求来对资源进行访问的功能。资源访问部22在通过访问控制执行部23解除保留的资源访问事件的持续过程中，执行基于访问请求的访问，将访问结果作为访问应答，输出到接口部21，提供给访问主体。例如，在访问请求请求资源的阅览行为(“Read”)而由访问控制执行部23允许的情况下，将资源的阅览(描绘)提供给访问主体。另外，资源可以保存在访问控制装置20内，也可以保存在数据库等外部装置内。资源如果能够通过资源访问部22来访问，则也可以保存在任一位置。
访问控制执行部23是用于控制资源访问部22的访问的功能部。作为控制资源访问部22的访问的方法，例如能够使用以下两个方法。第一，中继对来自资源访问部22的资源的访问。第二，监视资源访问部22，当开始资源访问事件时，控制对资源的访问。在此，说明第二例。
作为第二例，具体地说，能够使用以下方式：在产生与访问相关联的特定的事件的情况下，根据事件使访问控制执行部23进行动作。另外，作为控制，能够使用以下方式：允许或者拒绝访问，在拒绝的情况下，结束访问。除此以外，在资源为图像数据的情况下，也可以追加图像转换等特定的处理。在本实施方式中，作为控制的简单例，使用允许(Permit)或者拒绝(Deny)访问的控制。
这种访问控制执行部23在此具有以下功能(f23‑1)~(f23‑8)。
(f23‑1)保留功能，当资源访问事件开始时，在资源访问部22的访问之前保留资源访问事件。
(f23‑2)决定请求生成功能，在其保留过程中，从资源访问部22中获取访问请求，生成包括该访问请求的访问决定请求。
(f23‑3)策略获取功能，在生成访问决定请求时，从访问控制策略获取部26中获取预先与属性管理部25内的资源标识符相关联地指定的初级访问控制策略、或者对前级的访问控制策略指定的下一级的访问控制策略。将策略获取请求发送到访问控制策略获取部26，从访问控制策略获取部26中获取访问控制策略，由此实现该策略获取功能。
(f23‑4)送出功能，将所生成的访问决定请求和获取到的访问控制策略送出到访问决定部24。
(f23‑5)送出功能，在该访问决定应答内的决定结果表示允许时，如果在该访问决定应答内存在任务型策略，则将包括该任务型策略内的任务信息的任务执行请求送出到属性更新任务执行部28。
(f23‑6)指定功能，在从属性更新任务执行部29送出的任务执行结果表示成功时，根据访问决定应答内的任务型策略的任务信息，将下一级的访问控制策略指定为策略获取功能。
(f23‑7)解除功能，在从访问决定部24送出的访问决定应答内的决定的结果表示允许时，如果在该访问决定应答内不存在任务型策略，则解除资源访问事件的保留。
(f23‑8)删除功能，在从访问决定部24送出的访问决定应答内的决定结果表示拒绝时或者任务执行结果表示失败时，删除所保留的资源访问事件。
此外，在任务执行失败的情况下，通常期望访问控制执行部23将访问决定判断为拒绝“Deny”。然而，访问控制执行部23也可以在最初任务执行失败的情况下不拒绝访问决定，如果在再次执行访问决定仅规定次数之后任务执行失败，则拒绝访问决定。也可以将随着这种任务执行的补充信息明确地包括在任务信息中。
访问决定部24是用于决定访问的允许或者拒绝(访问决定)的功能部，接着具备功能(f24‑1)~(f24‑2)。
(f24‑1)访问决定功能，当接受从访问控制执行部23送出的访问决定请求和访问控制策略时，通过该访问控制策略内的禁止型策略从属性管理部25获取属性信息，根据该属性信息和禁止型策略来决定访问的允许或者拒绝。
(f24‑2)送出功能，将生成的访问决定应答送出到访问控制执行部23，该访问决定应答被生成为如果包括决定结果并且在该决定时使用的访问控制策略内存在任务型策略，则进一步包括该任务型策略。
此外，在执行访问决定过程中需要包括访问请求的访问决定请求、描述了用于判断访问请求的允许或者拒绝的判断基准的信息的访问控制策略、以及补充访问控制策略的信息即属性信息。也可以由访问决定部24或者访问控制执行部23中的任一个获取属性信息。在第一实施方式中，访问决定部24获取属性信息，在第二实施方式中，访问控制执行部23获取属性信息。
如图2中的一例所示，访问决定请求能够表现为使用了XACML V2.0形式的请求(Request)表现的XML文档。
在本例中，资源(Resource)要素的子要素即属性(Attribute)要素值表示表现资源标识符的值“resource0001”。资源标识符是能够识别资源的信息，可以是单纯的字符列表现，也可以采用包括URI(Uniform Resource Identifier：统一资源标识符)等的搜索位置的信息形式。此外，资源标识符的值需要访问决定部24和资源管理装置10能够理解。在本例中，以根据资源要素的数据型(DataType)属性值来指定的方式，表现为字符列值。
作为行为(Action)要素的子要素的属性(Attribute)要素值是表现行为标识符的值。行为标识符是能够识别对资源的访问行为的信息。在本例中，以根据行为要素的数据型(Data Type)属性值来指定的方式，将行为标识符表现为字符列值。表现行为标识符的字符列值“Read”表示阅览行为。
在这种访问决定请求中除了包括资源标识符和行为标识符以外，如果是通过访问请求装置来能够获取的属性信息，则也可以包括请求时刻、连接环境等的任意属性信息。此外，在本实施方式的示例中，在访问决定请求中没有包括与访问主体和环境有关的属性信息(空要素)。这是由于，通过后述的属性信息更新来获取和更新与访问主体有关的属性信息。
如图3的一例所示，访问控制策略以阶梯式执行访问控制的方式分为多级而描述。
例如图4和图5所示，访问控制策略具体地说能够采用集合访问控制规则的结构的策略形式。在此，作为标准的策略描述语言，采用将非专利文献1示出的XACML V2.0形式作为参考的描述形式。
该访问控制策略具有一个以上的策略(Policy)要素。作为集中策略要素的信息也可以具有策略集合(Policy Set)要素。也可以将策略集合(Policy Set)要素包括在策略集合(Policy Set)要素中。策略要素具有规则(Rule)要素，在规则要素中描述访问控制的关键内容。
通常，策略文件作为表示访问控制的关键内容的文件，包括“subject”(主体)、“action”(行为)、“resource”(资源)、“environment”(环境)这种结构要素。
具体地说，“subject”(主体)是访问执行的主体，使用主体(Subjects)要素表示。“resource”(资源)是访问执行的客体，使用资源(Resources)要素表示。“action”(行为)是访问执行的行为内容，使用行为(Actions)要素表示。“environment”(环境)表示访问执行的环境。任务(Obligation)要素描述随着访问决定产生的任务。任务(Obligations)要素是用于集中多个任务(Obligation)要素的要素。此外，名称空间、数据类型等信息为任意的附加事项，因此省略记载。
在图4和图5示出的示例中，设定两个规则。一个是规则标识符(RuleId)属性值具有“rule1”的规则(Rule)要素(以下称为规则1)。另一个是规则标识符(RuleId)属性值具有“deny‑all‑others”的规则(Rule)要素(以下称为拒绝规则)。
在此，规则1表现在适合于特定条件的情况下用于附加允许效果的规则。图4示出的规则1表现用于表示有效期限的条件的规则。该表现形式利用通过上述XACML V2.0提供的功能，因此省略详细说明。如果作为环境属性的当前时刻(Environment Attribute Designator要素所指示的属性)不足由有效期限表示的日期，则该规则1是允许效果的规则表现。在此，由访问决定部24获取当前时刻的值，但是并不限定于此，也可以由访问执行控制部23获取当前时刻的值而使包括在访问决定请求中。这情况对其它属性信息也相同，还可以选择以下任一个方法：访问控制执行部23明确地通过属性管理部25来获取属性；以及如规则1那样根据环境属性指定者(Environment Attribute Designator)要素等来明确地指定参照处而在访问决定部24内部获取属性。
另一方面，拒绝规则表现在不存在具有对应的条件的用于允许的规则的情况下(其它规则全部拒绝的情况下)用于附加拒绝效果的规则。具体地说，拒绝规则是在所属的策略(Policy)要素内不存在具有对应的条件的用于允许的规则的情况下用于将所属的策略(Policy)要素的效果设为拒绝(Deny)的规则。
接着，在图4和图5示出的示例中，具有任务标识符(ObligationId)要素值“obligation1”的任务(Obligation)要素表现更新属性信息的任务行为。在本实施方式中，作为更新属性信息的一例，说明认证访问主体而获取访问主体所具有的识别信息(访问主体标识符)并更新为属性信息的示例。除此以外，用于正确地证明当前时刻的时间戳信息、由访问控制装置20配置的物理性或者网络性位置信息等也能够使用于要获取更新的信息。在使用这种信息的情况下，也与上述访问主体的认证同样地，执行时间戳信息或者位置信息的获取和认证以及属性信息的更新即可。另外，任务要素的执行机会(Fulfill On)属性值表示“Permit”(允许)，因此在图4和图5的策略集合(Policy Set)整体的效果(Effect)表示“Permit”(允许)时，该任务要素变为合适。
在XACML V2.0形式中，任务要素由多个属性分配(Attribute Assignment)要素构成。具有属性标识符(AttributeId)属性值“obligation‑subject”(任务主体)的属性分配(Attribute Assignment)要素表示执行任务的任务执行主体。在图4和图5示出的示例中，该属性分配要素的值是“Obligation Service：UserAuthentication Service”(任务服务：用户认证服务)，指访问主体认证任务执行部29。具有属性标识符属性值“obligation‑action”(任务行为)的属性分配要素表示任务执行主体要执行的任务行为。在图4和图5的示例中，该属性分配要素的值是“Authenticate User”(认证用户)，表示认证访问主体的情况。具有属性标识符属性值“obligation‑complement:authentication‑method”(任务补充：认证方法)的属性分配要素作为随着任务执行产生的补充信息表示认证方式。在图4和图5的示例中，属性分配要素的值是“password”(密码)，表示密码认证方式。另外，具有属性标识符属性值“obligation‑complement:update‑target”(任务补充：更新对象)的属性分配要素作为随着任务执行产生的补充信息表示要更新属性的对象属性。在本例中，表示对通过认证获取到的访问主体标识符(subject‑id)进行更新的情况。记载于该任务要素的信息在访问决定为“Permit”(允许)时使适合，作为访问决定应答的一部分的任务信息，被送出到访问控制执行部23。
在本实施方式中，阶梯式地过渡到下一个访问控制处理，如图4和图5的一例所示，明确地准备具有任务标识符要素值“obligation2”(任务2)的任务要素。但是，不需要明确地指定任务要素，访问控制执行部23黯然地进行判断，也可以过渡到下一个访问控制处理。例如，考虑通过访问控制策略获取部26按顺序获取与阶梯式的访问控制处理对应的访问控制策略。
此外，作为访问决定请求，在本实施方式中，在第二级中也由访问决定部24从属性管理部25获取属性信息，因此使用图2示出的访问决定请求。但是，代替图2示出的访问决定请求，也可以使用图6示出的访问决定请求。图6示出的示例是根据具有任务标识符要素值“obligation2”的任务要素产生的第二级的访问决定请求的变形例，追加表示访问主体的主体(Subject)要素这一点与图2示出的第一级的访问决定请求不同。即，图6示出的访问决定请求明确地包括通过根据具有上述任务标识符要素值“obligation1”(任务1)的任务要素来执行的任务进行更新的属性信息。如图7和图8所示，对该访问决定请求，表示第二级的访问控制策略内的访问主体的合适对象的主体属性指定者(SubjectAttribute Designator)要素的属性标识符属性值参照表示访问决定请求内的访问主体标识符的主体(Subject)要素的属性(Attribute)要素即可。但是，在本实施方式中，以由访问决定部24从属性管理部25获取属性信息的方式，描述表示访问控制策略内的访问主体的合适对象的参照处的主体属性指定者要素的属性标识符属性值(未图示)。因此，使用与图2相同的访问决定请求。如上所述，代替从属性管理部25获取更新后的属性信息的结构，能够变形为从访问决定请求获取更新后的属性信息的结构在其它任意的属性中也相同。此外，在第二实施方式中说明从访问决定请求获取更新后的属性信息的结构。
另外，图7和图8示出第二级的访问控制策略的示例。规则标识符(RuleId)属性值表示具有“rule2”(规则2)的规则(Rule)要素的规则(以下称为规则2)是表示访问主体对资源允许的行为的规则，通过表示访问主体的访问主体标识符“user0001”、表示资源的资源标识符“resource0001”、表示行为的行为标识符“Read”来表现。此外，可知在图6示出的访问决定请求的情况下，规则2适合，访问决定成为“Permit”(允许)。
属性管理部25是用于管理属性信息的功能部，在本实施方式中，至少具有存储部，该存储部对单独包括当前日期的值和访问主体标识符的值的多个属性信息进行更新存储。此外，根据效率的观点，将属性管理部25内的属性信息中的、例如访问控制装置的名称等这种静态属性信息预先通过接口部21写入到属性管理部25内而管理。
访问控制策略获取部26具有以下功能：从访问控制策略存储部27中读出从访问控制执行部23获取请求的访问控制策略；以及将读出的该访问控制策略送出到访问控制执行部23。
访问控制策略存储部27是能够从接口部21和访问控制策略获取部26等的功能部访问的存储部，具有以下功能(f27‑1)~(f27‑2)。
(f27‑1)第一策略存储功能，存储一个以上的访问控制策略，该一个以上的访问控制策略包括禁止型策略和任务型策略，其中，该禁止型策略预先分别描述属性条件以及任一个属性信息的获取处，而在从作为获取处的属性管理部25获取到的属性信息满足属性条件的情况下表示允许，在不表示允许的情况下表示拒绝，该任务型策略描述了包括任务执行主体、任务行为以及下一级的访问控制策略的指定的任务信息。包括这种禁止型策略和任务型策略的访问控制策略的一例与图4和图5示出的示例相同。
(f27‑2)第二策略存储功能，存储任一个任务信息指定的访问控制策略，并且包括禁止型策略而不包括任务型策略，其中，禁止型策略预先描述包括资源标识符的值、行为标识符的值以及访问主体标识符的值的属性条件和从访问决定请求读出的资源标识符和行为标识符以及从上述属性管理部25读出的访问主体标识符，而在读出的该资源标识符的值、行为标识符的值以及访问主体标识符的值与该属性条件一致的情况下表示允许，在不表示该允许的情况下表示拒绝。包括这种禁止型策略而不包括责任型策略的访问控制策略的一例与图7和图8示出的示例相同。
此外，也可以设为从未图示的解码部将访问控制策略写入到访问控制策略存储部27的方式。具体地说，也可以是以下方式：在包括加密访问控制策略的文档文件为资源的情况下，将解码部对该文档文件内的加密访问控制策略进行解码得到的访问控制策略写入到访问控制策略存储部27。在此，加密和解码的密钥可以使用共用密钥，也可以使用访问控制装置20的公开密钥(加密用)和秘密密钥(解码用)的对。
属性更新任务执行部28是用于根据来自访问控制执行部23的任务执行请求来执行对应的任务而更新通过属性管理部25管理的属性信息的功能部。在此，属性更新任务执行部28具有以下各功能(f28‑1)~(f28‑2)。
(f28‑1)任务执行请求功能，对从访问控制执行部23送出的任务执行请求内的任务信息所指定的任务执行主体，送出包括该任务信息内的任务行为的任务行为执行请求。在图5示出的示例中，具有任务标识符要素值”obligation1“(任务1)的任务要素的任务执行主体是访问主体认证任务执行部29。
(f28‑2)送出功能，在访问主体认证任务执行部29中两者一致而认证成功时，将在认证时使用的访问主体标识符的值写入到属性管理部25，并且将表示任务执行的成功的任务执行结果送出到访问控制执行部23，在两者不一致而认证失败时，将表示任务执行的失败的任务执行结果送出到访问控制执行部23。此外，访问主体标识符的值也可以从访问主体认证任务执行部29写入到属性管理部25。同样地，任务执行结果也可以从访问主体认证任务执行部29送出到访问控制执行部23。
另外，也可以是属性更新任务执行部28对按照每个任务内容设置的多个任务执行部依次请求任务执行的方式，在该情况下，在接受任务执行请求之后，使能够执行对应的任务的任务执行部执行任务即可。此外，通常期望在设置多个任务执行部的情况下，按照对任务信息罗列的顺序来执行任务，仅在全部任务执行成功的情况下，将表示任务执行成功的任务执行应答返回到访问控制执行部23。另外，任务执行部并不仅限于设置于访问控制装置20内，也可以设置于其它装置。
作为从属性更新任务执行部28请求任务执行的任务执行部的具体例，存在访问主体认证任务执行部29。
访问主体认证任务执行部29是认证访问主体而用于获取访问主体所具有的识别信息的功能部，具有作为任务执行主体的访问主体认证功能，即根据从属性更新任务执行部28送出的任务行为执行请求，将从访问主体获取到的访问主体标识符的值和访问主体认证信息与预先设定的访问主体标识符的值和访问主体认证信息进行比较，当两者一致时，将访问主体认证为合法。此外，访问主体认证信息也被称为证书信息(访问主体证明信息)，在此使用访问主体的密码。访问主体认证信息与访问主体标识符相关联地存储在访问控制装置20内的存储部(未图示)，但是并不限定于此，也可以存储在外部的存储装置。此外，在图5示出的示例中，用于更新属性的任务信息指定密码认证方式，因此访问主体认证信息成为密码。通过其指定，访问主体认证任务执行部29通过接口部21呈现用于认证访问主体的输入表单等回调信息，在由访问主体输入访问主体标识符和密码之后，从返送的输入表单中获取访问主体标识符和密码而执行访问主体认证。
接着，参照图9和图10说明具有上述结构的访问控制装置20的动作。
(ST1)在访问控制装置20中，由访问主体操作未图示的输入部，包括表示资源的资源标识符以及表示对资源的访问请求内容的行为标识符的访问请求被输入到接口部21。接口部21接受该访问请求。
(ST2)资源访问部22根据接受到的该访问请求，开始用于访问资源的资源访问事件。此外，如果没有保留或者删除开始的资源访问事件，则资源访问部22根据访问请求对资源管理装置10内的资源进行访问。
(ST3)另一方面，当开始资源访问事件时，访问控制执行部23在资源访问部22的访问之前保留资源访问事件。
(ST4)访问控制执行部23在其保留过程中从资源访问部22获取访问请求，生成包括该访问请求的访问决定请求。另外，访问控制执行部23在生成访问请求时，从访问控制策略获取部26获取预先与属性管理部25内的资源标识符相关联地指定的初级访问控制策略。初级(第一次)的访问控制策略并不限于预先与资源标识符相关联地指定的情况，也可以与资源标识符无关地预先指定。
(ST5)访问控制执行部23将所生成的访问决定请求和获取到的访问控制策略送出到访问决定部24。
(ST6)访问决定部24当接受到送出的访问决定请求和访问控制策略时(作为用于决定访问的补充信息)，通过该访问控制策略内的禁止型策略从属性管理部25获取属性信息，根据该属性信息和禁止型策略来决定访问的允许或者拒绝。在本例中，从属性管理部25获取到的当前日期的值满足有效期限的属性条件，因此访问决定部24决定访问的允许。访问决定部24将生成的访问决定应答送出到访问控制执行部23，该访问决定应答被生成为包括该决定的结果，并且如果在该决定时使用的访问控制策略内存在任务型策略，则进一步包括该任务型策略。
(ST7)访问控制执行部23在该访问决定应答内的决定的结果表示允许时，如果在该访问决定应答内存在任务型策略，则将包括该任务型策略内的任务信息的任务执行请求送出到属性更新任务执行部28。此外，如果在访问决定应答内不存在任务型策略，则进入到步骤ST12。另外，在访问决定应答内的决定的结果表示拒绝“Deny”时，进入到步骤ST14即可。
(ST8)属性更新任务执行部28对该任务执行请求内的任务信息所指定的任务执行主体，送出包括该任务信息内的任务行为的任务行为执行请求。在本例中，对任务信息指定的任务执行主体相当于访问主体认证任务执行部29。访问主体认证任务执行部29通过接口部21认证为访问主体。具体地说，访问主体认证任务执行部29根据该任务行为执行请求将从访问主体获取到的访问主体标识符的值和访问主体认证信息与预先设定的访问主体标识符的值和访问主体认证信息进行比较，当两者一致时，将访问主体认证为合法。
(ST9)在两者一致而认证成功时，访问主体认证任务执行部29将认证时使用的访问主体标识符写入到属性管理部25。此外，在存在对应于属性管理部25的属性信息(在本例中访问主体标识符)的情况下更新值，如果不存在对应的属性信息，则重新登记属性和值。
(ST10)属性更新任务执行部28不管任务执行的成功或者失败，应答任务执行的结果。具体地说，在步骤ST8中进行比较的两者一致而认证成功时，属性更新任务执行部28与步骤ST9中的写入一起将表示任务执行的成功的任务执行结果送出到访问控制执行部23。另外，在步骤ST8进行比较的两者不一致而认证失败时，属性更新任务执行部28将表示任务执行的失败的任务执行结果送出到访问控制执行部23。
(ST11)访问控制执行部23在该任务执行结果表示成功时，根据步骤ST7中的访问决定应答内的任务型策略的任务信息，指定下一级的访问控制策略。该指定基于具有图4和图5的示例中的任务要素值”obligation2“(任务2)的任务要素。根据表示成功的任务执行结果以及所指定的下一级的访问控制策略来使访问决定持续。在使访问决定持续的情况下，反复执行步骤ST4至步骤ST11。此外，在由于任务执行结果表示失败而访问决定没有持续的情况下，进入到步骤ST14。
接着，说明使访问决定持续的情况下反复执行的步骤ST4~ST11的动作。但是，在本例中，下一级的访问控制策略也可以是最终级的访问控制策略，从步骤ST7进入到步骤ST12，因此不进行步骤ST8~ST11的动作。
(ST4)访问控制执行部23在资源访问事件的保留过程中，从资源访问部22获取访问请求，生成包括该访问请求的访问决定请求。该访问决定请求可以与上述说明的访问决定请求相同，也可以包括在步骤ST9中更新的属性信息。在本例中，设为与上述访问决定请求相同。另外，访问控制执行部23在生成访问请求时，从访问控制策略获取部26中获取在步骤ST11中指定的下一级的访问控制策略。
(ST5)访问控制执行部23将所生成的访问决定请求和获取到的访问控制策略送出到访问决定部24。
(ST6)当接受送出的访问决定请求和访问控制策略时，访问决定部24通过该访问控制策略内的禁止型策略从属性管理部25获取属性信息，根据该属性信息和禁止型策略决定访问的允许或者拒绝。在本例中，访问决定部24从属性管理部25获取访问主体标识符的值，从访问决定请求中读出的资源标识符和行为标识符以及获取到的该访问主体标识符与在禁止型策略中预先作为属性条件而描述的资源标识符的值、行为标识符的值以及访问主体标识符的值一致，因此决定访问的允许。访问决定部24将生成的访问决定应答送出到访问控制执行部23，该访问决定应答被生成为包括该决定的结果，并且如果在该决定时使用的访问控制策略内存在任务型策略，则进一步包括该任务型策略。在本例中，包括表示访问的允许的决定的结果，但是，送出不包括任务型策略的访问决定应答。
(ST7)访问控制执行部23在送出的该访问决定应答内的决定的结果表示允许“Permit(允许)”时，如果在该访问决定应答内不存在任务型策略，则进入到步骤ST12。
(ST12)访问控制执行部23解除资源访问部22中的资源访问事件的保留。
(ST13)当资源访问事件的保留被解除时，资源访问部22通过接口部21对资源进行访问，将访问结果输出到访问主体。在本例中，根据访问请求内的资源标识符的值“resource0001”和行为标识符的值“Read”，读出资源管理装置10内的文档文件而进行显示输出。此外，资源并非文档文件，在动作执行部的情况下，根据资源标识符的值表示的动作执行部(例如门打开和关闭部)输出执行行为标识符的值(例如门打开)的动作的意思的访问结果。
(ST14)另外，访问控制执行部23在步骤ST6中送出的访问决定应答内的决定结果表示拒绝“Deny”时或者在步骤ST10中送出的任务执行结果表示失败时，删除所保留的资源访问事件。当删除资源访问事件时，资源访问部22通过接口部21将访问被拒绝的意思输出到访问主体。
如上所述，根据本实施方式，保留根据对资源的访问请求来开始的资源访问事件，依次使用多级的访问控制策略，按照每个访问控制策略，依次执行属性信息的获取以及基于获取到的该属性信息的访问决定，在全部访问决定的结果表示允许时，解除资源访问事件的保留，对资源进行访问。
由此，即使在存在排他且选择性的多个属性信息的情况下，也按照每个访问控制策略，依次执行属性信息的获取以及基于获取到的该属性信息的访问决定，从而能够有效地实现详细的访问控制。
另外，通过连锁地执行以下工序来能够有效地实现详细的访问控制：通过访问决定后的任务处理来更新下一级的访问决定所需的属性信息的工序；以及获取更新的该属性信息来进行访问决定的工序。
此外，本实施方式例举说明了级数n=2的情况，但是并不限定于此，如图11所示，即使在级数n为任意的多个情况下也同样地实施而能够得到相同的效果。
<第二实施方式>
图12是表示第二实施方式所涉及的访问控制装置及其周边结构的示意图，图13是用于说明本实施方式中的动作的示意图，对与上述附图相同的部分附加相同的附图标记而省略其详细的说明，在此主要说明不同的部分。
即，第二实施方式是第一实施方式的变形例，变更获取属性信息的步骤以及功能部。即，在第一实施方式的访问控制装置20中构成为，访问控制执行部23在步骤ST4中不从属性管理部25获取属性信息，而访问决定部24在步骤ST6中从属性管理部25获取属性信息。
与此相对，在第二实施方式的访问控制装置20’中构成为，访问控制执行部23’在步骤ST4’中从属性管理部25’获取属性信息，另一方面，访问决定部24’在步骤ST6’中不从属性管理部25’获取属性信息。
具体地说，访问控制执行部23’具有以下功能(f23‑c1)~(f23‑c4)而代替上述功能(f23‑1)~(f23‑8)中的、功能(f23‑2)~(f23‑4)。
(f23‑c1)获取功能，在资源访问事件的保留过程中，从资源访问部22获取访问请求。
(f23‑c2)策略获取功能，在获取到访问请求时，获取预先与属性管理部25’内的资源标识符相关联地指定的初级访问控制策略或者对前级的访问控制策略指定的下一级的访问控制策略。
(f23‑c3)生成功能，通过获取到的该访问控制策略内的禁止型策略从属性管理部25’中获取属性信息，生成包括该属性信息和访问请求的访问决定请求。
(f23‑c4)送出功能，将所生成的访问决定请求和获取到的访问控制策略送出到访问决定部24’。
此外，上述功能(f23‑7)、(f23‑8)中的访问决定部24也被称为访问决定部24’。
访问决定部24’具有以下功能(f24‑c1)，代替上述功能(f24‑1)~(f24‑2)中的、功能(f24‑1)。
(f24‑c1)决定功能，当接受到从访问控制执行部23’送出的访问决定请求和访问控制策略时，根据该访问决定请求内的属性信息和该访问控制策略内的禁止型策略来决定访问的允许或者拒绝。
此外，上述功能(f24‑1)中的访问控制执行部23也被称为访问控制执行部23’。这样，在第二实施方式中，第一实施方式的功能部的附图标记23、24也被称为附图标记23’、24’在其它功能中也相同。
接着，参照图13说明具有上述结构的访问控制装置20’的动作。访问控制装置20’的动作执行以下步骤ST4’和ST6’，代替上述步骤ST1~ST14中的、步骤ST4和ST6。
(ST4’)访问控制执行部23’在资源访问事件的保留过程中从资源访问部22获取访问请求。另外，访问控制执行部23’从访问控制策略获取部26获取预先与属性管理部25内的资源标识符相关联地指定的初级访问控制策略。初级(第一次)的访问控制策略并不限于预先与资源标识符相关联地指定的情况，也可以与资源标识符无关地预先指定。接着，访问控制执行部23’通过获取到的访问控制策略内的禁止型策略从属性管理部25获取属性信息。访问控制执行部23’生成包括访问请求和属性信息的访问决定请求。
(ST6’)当接受到从访问控制执行部23’送出的访问决定请求和访问控制策略时，访问决定部24’根据访问决定请求内的属性信息和访问控制策略内的禁止型策略来决定访问的允许或者拒绝。访问决定部24’将生成的访问决定应答送出到访问控制执行部23’，该访问决定应答被生成为包括该决定的结果，并且如果在该决定时使用的访问控制策略内存在任务型策略，则进一步包括该任务型策略。
如这种步骤ST4’和ST6’所示，访问决定部24’与第一实施方式的访问决定部24相比，省略了从访问控制装置20’内的属性管理部25中获取属性信息的功能。因此，能够将访问决定部24’设为独立的外部装置。此外，也可以将外部装置称为访问决定装置。也可以将外部装置和访问控制装置20’的组合称为访问控制系统。
如上所述，根据本实施方式，除了第一实施方式的效果以外，能够将访问决定部24’配置于访问控制装置20’的外部。
另外，同样地，本实施方式举例说明了级数n=2的情况，但是并不限定于此，如图14所示，即使在级数n为任意的多个情况下也同样地实施而能够得到相同的效果。
此外，上述各实施方式所记载的方法作为能够使计算机执行的程序，还能够存储到磁盘(软盘(注册商标)、硬盘等)、光盘(CD‑ROM、DVD等)、光磁盘(MO)、半导体存储器等存储介质而颁布。
另外，作为该存储介质，如果能够存储程序并且计算机可读取的存储介质，则其存储形式可以是任一方式。
另外，也可以通过根据从存储介质安装到计算机的程序的指示在计算机上运转的OS(操作系统)、数据库管理软件、网络软件等MW(中间软件)等来执行用于实现上述实施方式的各处理的一部分。
并且，各实施方式中的存储介质并不限于与计算机独立的介质，还包括通过下载LAN、因特网等传输的程序而存储或者临时存储的存储介质。
另外，存储介质并不限于一个，从多个介质执行上述各实施方式中的处理的情况也包括在本发明中的存储介质，介质结构可以是任一结构。
此外，各实施方式中的计算机根据存储在存储介质中的程序，执行上述各实施方式中的各处理，也可以是由个人计算机等之一构成的装置、多个装置通过网络连接而成的系统等的任一结构。
另外，各实施方式中的计算机并不限于个人计算机，还包括信息处理设备内包含的运算处理装置、微型计算机等，是能够通过程序来实现本发明的功能的设备、装置的总称。
此外，说明了本发明的几个实施方式，这些实施方式仅是示例的呈现，没有意图限定发明的范围。这些新的实施方式能够在其它各种方式中实施，在不脱离发明的宗旨的范围内能够进行各种省略、替换、变更。这些实施方式、其变形包括在发明的范围、宗旨，并且包括在权利要求的范围所记载的发明及其均等的范围内。