用于确定访问控制的方法和装置制造方法及图纸

当利用策略确定用户的访问是否应该被允许时，本发明专利技术的访问控制确定装置以预定路径表达该用户对数据源的访问，根据该预定路径从所存储的策略中检索出适合的策略，根据该预定路径计算访问允许值，根据该预定路径以及策略检索单元已检索出的策略计算访问结果值，以及根据该访问允许值和访问结果值确定该用户对数据源的访问是否应该被允许。

【技术实现步骤摘要】

本专利技术涉及通过使用策略确定访问控制结果的方法。更具体地，本专利技术涉及用于当用户试图访问存储在数据库服务器中的数据时确定结果的装置及其方法。
技术介绍
为了获取要被处理的数据，迄今为止所执行的是访问存储该数据的数据库服务器。在这种访问中，用户使用作为客户机的计算机终端，通过经由局域网(LAN)和/或因特网访问数据库服务器来获取该数据。所存储地数据以可扩展标记语言(XML)或超文本标记语言(HTML)来描述。具体地，以XML描述的文档称为XML文档。XML文档被认为是分层构造的文档，其能够根据信息提供者的意图被分层构造。这种XML文档被广泛应用于从诸如基因信息数据库的大型数据库到诸如医疗记录的小型数据库。这里，存在这样的情况，其中数据库的管理员对XML文档进行设置，该设置使得当一个用户访问该数据库时，该访问依据该用户而被拒绝。例如，医院中的医疗记录数据库的管理员必须进行控制以便病人不能访问他/她自己的医疗记录数据。具体而言，已知一种其中利用称作策略的规则来执行访问控制的方法。例如，该策略是根据用户的姓名、职务、部门等等来确定的。然后，使用策略，对如Windows(注册商标)文件系统所采用的每个文件或每个文件夹执行访问控制。因此，能够防止不被允许的用户或用户组访问相关的文件或文件夹。然而，存在这样的情况，其中需要这样的控制，即对于一个用户允许对文件的一部分的访问，而拒绝对该文件的剩余部分的访问。例如，假设医疗记录作为一个XML文档被创建并存储在数据库中。在这种情况下，优选的是医生能够访问全部医疗记录信息，但是实习医生只能够访问病人的诊断信息。然而，利用上述的访问控制方法，只能够逐个文件来设置此策略。因此，对于XML文档的一部分执行访问控制是不可能的。作为解决这种问题的方法，已知有使能够访问XML文档的每个内部结构单元的控制装置(日本专利特开2001-273285，下文称作专利文献1)。在专利文献1中，公开了一种通过将策略并入到XML文档中来控制对该文档的每个内部结构单元的访问的访问控制装置。专利文献1的XML文档包括作为数据库数据的记录以及为每个记录设置的策略。当用户访问XML文档的一部分时，该访问控制装置读取所并入的策略并控制该访问。然而，该访问控制装置在数据库中的记录数量巨大时并不适合。这是因为当数据库中的记录数量增加时，用于控制对这些记录的访问的策略数量也增加，从而该XML文档变得非常庞大。例如，对于基因信息，在某些情况下，XML文档的记录的数据大小会变为1千兆字节或更多。另外，企业、学术团体等大量用户会访问该XML文档。因此，为访问该XML文档的大量用户中的每位用户设置策略是必要的，而这些策略的数据量则变得很庞大。因此，记录的数据量和策略的数据量都会变得庞大，而该XML文档的文件也变得非常庞大。在这种情况下，已知有一种将策略与XML文档分离并将策略构造为数据库的方法(Naishin，Michiharu Kudo，“Access control model UsingPathtables for XML Database(使用XML数据库的路径表的访问控制模型)”，计算机安全组，信息处理学会，2003年11月14日；下文称为非专利文献1)。非专利文献1公开了一种将策略构造为表数据库的方法(下文称为“表映射型数据库”)。表映射型数据库由用于指定XML文档的特定部分的路径表达式以及分别与这些路径表达式对应的条件组成。当用户进行访问的时候，访问控制装置计算对应于该访问请求的路径表达式。然后，访问控制装置从表中读出与该路径表达式对应的结果，并确定对该XML文档的由该路径表达式所指定的部分的访问是否应该被允许。当使用上述表映射型数据库时，存在这样的情况，其中用于确定用户对XML文档的一部分的访问是否应该被允许的策略(下文中，在表映射型数据库情况下的策略称为“条目”)的数量不为1，而是要检索多个条目。例如，假设这样的情况，其中属于会计部门的Daniel试图访问/会计部门/工资单。系统检索策略“Daniel能够访问/会计部门以/会计部门下的所有路径”，作为第一策略。该系统还检索策略“Daniel不能访问/会计部门/工资单”，作为第二策略。当以这种方式检索到了多个策略时，分别检查这多个条目，并确定该用户的访问是否应该被允许。因此，其中设置大量策略的系统可导致这样的情况，其中由系统检索到的条目数量变得很多。在这种情况下，用于确定可访问性的计算复杂度变高。同时，除了表映射方法以外，还有称为“匹配方法”的方法，该方法使用采用树结构的策略来确定访问。利用该方法，与将策略构造为树结构的数据的表映射方法相比，可以降低策略的数据量。甚至是在使用匹配方法的情况下，当检索到的策略数量很大时，确定可访问性所需要的计算复杂度也变高。这将利用图6来进行解释。图6示出了在匹配方法中用于确定可访问性的算法的例子。这里，为了指定XML文档的一部分，使用路径语言。具体而言，Pi是一个路径(其是有关一个对象的索引，其中对该对象的访问由策略来控制，该索引包括关于处于控制下的用户的名字以及关于该XML文档中的一个位置的信息，其中该位置是对其的访问被受控制的一个对象)，以及Pi＝/e1/e2/e3/……/ei+1中的ei对应于一个节点(其是上述的用户名或该XML文档中的位置)。策略包括路径和访问控制结果Q。访问控制结果是关于可访问性的信息，诸如访问可能、访问不可能等。图6显示了当路径由n个节点构成并且访问控制结果的数量(策略数量)为Q时所使用的算法。在该算法中，计算循环与节点数相对应的次数，并且在每次重复中，计算都循环与访问控制结果的数量相对应的次数，从而总计算复杂度变为n|Q|。换句话说，当使用策略执行访问控制时，执行n|Q|次计算来确定指示可访问性的访问控制结果。在数据库具有大量策略、或数据库具有大量节点(其是庞大的XML文档，是之后要描述的具有许多对象的数据库)的情况下，计算复杂度变得巨大，并且数据库的效率被降低。
技术实现思路
鉴于上述问题，本专利技术的目的在于提供一种确定方法，利用这种方法，当使用策略控制对数据源(XML文档等)的访问时计算复杂度被保持得尽可能低。一种访问控制确定装置，其在用户试图访问数据源时，根据该用户确定该访问是否应该被允许，该装置包括访问接收单元，其以预定路径表达该用户对数据源的访问；策略存储单元，其存储策略，每一策略都包括以路径语言表达的控制路径以及表示该访问是否应该被允许的控制结果；策略检索单元，其根据上述预定路径从上述策略中检索出适合的策略；访问允许值计算单元，其根据上述预定路径计算访问允许值；访问结果值计算单元，其根据上述预定路径以及上述策略检索单元检索出的策略，计算访问结果值；以及访问确定单元，其根据上述访问允许值和上述访问结果值确定该用户对数据源的访问是否应该被允许。根据本专利技术，当利用策略确定用户的访问是否应该被允许时，该访问控制确定装置中的访问接收单元以预定路径表达该用户对数据源的访问；该访问控制确定装置中的策略存储单元存储策略，每一策略都包括以路径语言表达的控制路径以及表示该访问是否应该被允许的控制结果；该访问控制确定装置中的策略检索单元根据上述预定路径从所存储的策略中检索出适合的策略；该访问控制确定装本文档来自技高网...

【技术保护点】
一种访问控制确定装置，其在用户试图访问数据源的情况下，根据该用户确定该访问是否应该被允许，该装置包括：访问接收单元，其以预定路径表达该用户对数据源的访问；策略存储单元，其存储策略，每一策略都包括以路径语言表达的控制路径以及表 示该访问是否应该被允许的控制结果；策略检索单元，其根据上述预定路径从上述策略中检索出适合的策略；访问允许值计算单元，其根据上述预定路径计算访问允许值；访问结果值计算单元，其根据上述预定路径以及上述策略检索单元检索出的 策略，计算访问结果值；以及访问确定单元，其根据上述访问允许值和上述访问结果值确定该用户对数据源的访问是否应该被允许。

【技术特征摘要】
JP 2004-11-26 343090/20041.一种访问控制确定装置，其在用户试图访问数据源的情况下，根据该用户确定该访问是否应该被允许，该装置包括访问接收单元，其以预定路径表达该用户对数据源的访问；策略存储单元，其存储策略，每一策略都包括以路径语言表达的控制路径以及表示该访问是否应该被允许的控制结果；策略检索单元，其根据上述预定路径从上述策略中检索出适合的策略；访问允许值计算单元，其根据上述预定路径计算访问允许值；访问结果值计算单元，其根据上述预定路径以及上述策略检索单元检索出的策略，计算访问结果值；以及访问确定单元，其根据上述访问允许值和上述访问结果值确定该用户对数据源的访问是否应该被允许。2.根据权利要求1的访问控制确定装置，其是利用计算机实现的。3.根据权利要求1的访问控制确定装置，其中对于上述策略检索单元检索出的一组策略，上述访问结果值计算单元按控制路径长度顺序计算访问结果值。4.根据权利要求1的访问控制确定装置，其中上述数据源是结构化文档。5.根据权利要求1的访问控制确定装置，其中上述访问允许值和访问结果值由数字表示，并且上述访问确定单元使用这些数字确定该访问是否应该被允许。6.根据权利要求1的访问控制确定装置，其中上述访问允许值和访问结果值使用已被定义了优先级的字符表示，并且上述访问确定单元使用这些字符确定该访问是否应该被允许。7.根据权利要求1的访问控制确定装置，其中上述路径语言是XPath。8.一种访问控制确定方法，其在用户终端与访问控制确定装置以通信线路网络连接时，当使用该用户终端的用户试图访问数据源时，根据该用户确定该访问是否应该被允许，该方法包括步骤利用该访问控制确定装置中的访问接收单元，以预定路径表达该用户对数据源的访问；利用该访问控制确定装置中的策略存储单元，存储策略，每一策略都包括以路径语言表达的控制路径以及表示该访问是否应该被允许的控制结果；利用该访问控制确定装置中的策略检索单元，根据上述预定路径从上述策略中检索出适合的策略；利用该访问控制确定装置中的访问允许值计算单元，根据上述预定路径计算访问允许值；利用该访问控制确定装置中的访问结果值计算单元，根据上述预定路径以及上述策略检索单元检索出的策略计算访问结果值；以及利用该访问控制确定装置中的访问确定单元，根据上述访问允许值和访问结果值确定该用户对数据源的访问是否应该被允许。9.根据权利要求8的访问控制确定方法，其是利用计算机实现的。10.根据权利要求8的访问控制确定方法，其中上述计算访问结果值的步骤包括，利用上述访问结果值计算单元，对于上述策略检索单元检索出的一组策略，按控制路径长度顺序计算访问结果值。11.根据权利要求8的访问控制确定方法，其中上述数据源是结构化文档。12.根据权利要求8的访问控制确定方法，其中在上述计算访问允许值的步骤中，使用数字计算该访问允许值；在上述...

【专利技术属性】
技术研发人员：戚乃箴，
申请(专利权)人：国际商业机器公司，
类型：发明
国别省市：US[美国]