JPH0789351B2 - Security management processing method - Google Patents
Security management processing methodInfo
- Publication number
- JPH0789351B2 JPH0789351B2 JP63034341A JP3434188A JPH0789351B2 JP H0789351 B2 JPH0789351 B2 JP H0789351B2 JP 63034341 A JP63034341 A JP 63034341A JP 3434188 A JP3434188 A JP 3434188A JP H0789351 B2 JPH0789351 B2 JP H0789351B2
- Authority
- JP
- Japan
- Prior art keywords
- identification name
- user
- business
- permission
- permission list
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Landscapes
- Storage Device Security (AREA)
Description
【発明の詳細な説明】 〔概 要〕 複数の利用者に共用される資源を有する計算機システム
のセキュリティ管理に関し、 業務を実行する利用者及びその業務で使用可能な資源を
業務オリエンテッドに管理することの容易なセキュリテ
ィ管理処理方式を目的とし、 複数の利用者に共用可能な資源を有する計算機システム
において、所要の各業務ごとに、業務識別名、許可利用
者識別名、及び該共用可能な資源のうちの所要資源の資
源識別名を指定する許可リストと、該利用者が利用者識
別名及び許可識別名を入力した場合に、該許可識別名に
対応する該許可リストを検索する手段と、該検索した許
可リストに指定された該許可利用者識別名に、該入力し
た利用者識別名が指定されていることを条件として、該
き許可リストに指定された該業務識別名によって定まる
業務の実行を開始させる手段と、該業務の実行中に使用
する資源を、該許可リストに指定されている該資源識別
名の範囲に限定する手段とを設けるように構成する。DETAILED DESCRIPTION OF THE INVENTION [Overview] Regarding security management of a computer system having resources shared by a plurality of users, a user who executes a job and resources available for the job are managed in a business-oriented manner. In a computer system that has resources that can be shared by multiple users for the purpose of easy security management processing, for each required task, a task identifier, an authorized user identifier, and the sharable resource And a means for searching the permission list corresponding to the permission identification name when the user inputs the user identification name and the permission identification name, The business knowledge specified in the permission list is provided on condition that the input user identification name is specified in the permitted user identification name specified in the retrieved permission list. And means for initiating the execution of the business determined by name, the resources used during execution of the work, be configured to provide a means to limit the scope of said resource distinguished name as specified in 該許 allowed list.
本発明は、複数の利用者に共用される資源を有する計算
機システムのセキュリティ管理、特に業務を実行する利
用者及びその業務で使用可能な資源を業務オリエンテッ
ドに管理するようにしたセキュリティ管理処理方式に関
する。The present invention relates to security management of a computer system having resources shared by a plurality of users, and more particularly to a security management processing method for managing users who execute a job and resources available in the job in a business-oriented manner. Regarding
複数の利用者が共用する計算機システムにおいては、プ
ログラム、データ等の共用可能な資源について、データ
内容の秘密保持、不当な改竄の防止等のいわゆるセキュ
リティ維持のための管理が一般に必要とされる。In a computer system shared by a plurality of users, it is generally necessary to manage so-called security, such as confidentiality of data contents and prevention of unauthorized tampering, for shared resources such as programs and data.
第2図は計算機システムの構成例を示すブロック図であ
る。FIG. 2 is a block diagram showing a configuration example of a computer system.
計算機システムの利用者は、処理装置1に接続した端末
2から所要の指令等を入力して、記憶装置3に格納され
たプログラムファイル4から業務に必要なプログラムを
指定して実行することにより、記憶装置3に格納された
データファイル5の所要データ或いは端末2から入力す
るデータ等を処理して、ファイルを更新し、又必要な処
理結果を端末2に出力させる。A user of the computer system inputs a required command or the like from the terminal 2 connected to the processing device 1, specifies a program necessary for a job from the program file 4 stored in the storage device 3, and executes the program. Required data of the data file 5 stored in the storage device 3 or data input from the terminal 2 is processed to update the file and the necessary processing result is output to the terminal 2.
このようなシステムでセキュリティ管理を行う場合に
は、例えば先ず利用者が端末2からシステムにアクセス
したとき、セキュリティ制御部6が利用者識別名と利用
者パスワードの入力を求め、両入力の対応を利用者管理
リスト7によって確認できた場合のみ、業務の処理の開
始を許し、利用者識別名と利用者パスワードが対応しな
い場合にはシステムへのアクセスを拒絶し、このように
して利用者がシステムの利用者管理リスト7に予め登録
されている利用者であることを確認する。When performing security management in such a system, for example, when the user first accesses the system from the terminal 2, the security control unit 6 requests the input of the user identification name and the user password, and the correspondence between the both inputs is made. Only when it can be confirmed by the user management list 7, the start of business processing is permitted, and when the user identification name and the user password do not correspond, access to the system is refused, and thus the user can access the system. It is confirmed that the user is a user registered in advance in the user management list 7.
次に利用者が、業務のために所要のプログラムを稼働
し、必要なデータファイルにアクセスするために、それ
らのファイル名を指定してアクセスを要求した場合に、
それらのファイがセキュリティ管理の必要なファイルで
あると、セキュリティ制御部6はそれぞれについてファ
イルパスワードの入力を要求する。Next, when the user runs the required program for the business and requests access by specifying those file names in order to access the necessary data files,
If these files are files that require security management, the security control unit 6 requests the file password for each file.
セキュリティ制御部6は利用者が入力した各ファイルパ
スワードを、ファイル管理リスト8によって各ファイル
名に対応するかチェックし、ファイル名に対応する正し
いファイルパスワードが入力された場合のみ、そのファ
イルへのアクセスを許し、このようにして、システムに
登録された正当な利用者が、ファイルパスワードを知ら
されているファイルにのみアクセスできるように管理す
ることができる。The security control unit 6 checks whether each file password entered by the user corresponds to each file name in the file management list 8 and accesses the file only if the correct file password corresponding to the file name is entered. In this way, a legitimate user registered in the system can manage the file password so that it can access only the file for which he is informed.
前記のようなセキュリティ管理の処理方式は、各利用者
が個別に利用するような計算センタ等に向いていて、管
理の融通性はあるが、セキュリティ管理を細かく行おう
とすると利用者に煩雑な操作を要求するようになる等の
問題がある。The security management processing method as described above is suitable for a computing center or the like that is used individually by each user, and is flexible in management, but if security management is to be performed in detail, it will be a complicated operation for the user. There is a problem that comes to demand.
特に、近年増加しているような例えば中型の計算機シス
テムを一事務所内の要員が共用して、比較的広い範囲の
業務に使用するような場合には、利用者に要求する操作
が簡単で適切なセキュリティ管理の可能な方式が望まれ
る。In particular, when a medium-sized computer system, which has been increasing in recent years, is used by a person in one office for a relatively wide range of work, the operation required by the user is simple and appropriate. A method capable of effective security management is desired.
本発明は、各利用者が計算機を使用して実行する業務を
基本にして、業務を実行する利用者及びその業務で使用
可能な資源を業務オリエンテッドに管理することの容易
なセキュリティ管理処理方式を目的とする。The present invention is a security management processing method that is based on the business that each user executes using a computer, and that easily manages the users who execute the business and the resources available for the business in a business-oriented manner. With the goal.
第1図は、本発明の構成を示すブロック図である。 FIG. 1 is a block diagram showing the configuration of the present invention.
図は計算機システムの構成を示し、処理装置10の11はシ
ステムにアクセスする利用者の指定する業務の実行可否
を、記憶装置15に格納する許可リスト12を検索して決定
するアクセス制御部、13は業務の実行中に、その業務に
対応する許可リスト12aによって、資源の使用を監視制
御する実行制御部である。The figure shows the configuration of a computer system, 11 of a processing device 10 is an access control unit that determines whether or not to execute a task specified by a user who accesses the system by searching a permission list 12 stored in a storage device 15, 13 Is an execution control unit that monitors and controls the use of resources by the permission list 12a corresponding to the business during the execution of the business.
許可リスト12には、所定の各業務ごとに業務識別名、許
可利用者識別名、及び共用可能な計算機資源のうちの所
要の資源の資源識別名をそれぞれ指定する。In the permission list 12, a business identification name, an authorized user identification name, and a resource identification name of a required resource among sharable computer resources are specified for each predetermined business.
利用者がある業務を実行する場合には、端末2から利用
者識別名及び許可識別名を入力し、アクセス制御部11
が、入力された許可識別名に対応する該許可リストを検
索し、入力された利用者識別名が、その許可リストに許
可利用者識別名として指定されているかチェックして、
該当の許可利用者識別名があれば、業務を開始させるた
めにその許可リストの内容を許可リスト12aとして実行
制御部13に渡す。When the user performs a certain task, the user identification name and the permission identification name are input from the terminal 2 and the access control unit 11
Searches the permission list corresponding to the entered authorization identifier, and checks whether the entered user identifier is specified as the authorized user identifier in the authorization list,
If there is a corresponding authorized user identification name, the contents of the permission list are passed to the execution control unit 13 as the permission list 12a to start the work.
実行制御部13は、その許可リストに指定された業務識別
名によって定まる業務の実行を開始させ、又業務の実行
中に使用する資源を、その許可リスト12aに指定されて
いる資源識別名の範囲に限定するように制御する。The execution control unit 13 starts the execution of the work determined by the work identification name specified in the permission list, and determines the resources used during the execution of the work within the range of the resource identification names specified in the permission list 12a. Control to be limited to.
以上の処理方式により、利用者は常にシステムにアクセ
スする場合に、自身の利用者識別名の他には、必要な各
業務に対する許可識別名のみを知っていればよく、シス
テムでは業務ごとの許可リストにより、セキュリティを
維持するに必要なだけ使用資源の限定等を行うことがで
きる。With the above processing method, when the user always accesses the system, in addition to his or her own user identification name, it is sufficient to know only the authorization identification name for each required job. With the list, it is possible to limit the resources used as necessary to maintain security.
本発明によるセキュリティ管理を適用する計算機システ
ムでは、原則として各利用者ごとに利用者識別名を定め
る。又セキュリティ管理を考慮して分類した、セキュリ
ティ管理の必要な業務ごとに1個以上の許可識別名を設
け、それらの各業務に対応して許可リスト12を設定して
おく。In the computer system to which the security management according to the present invention is applied, in principle, a user identification name is set for each user. Further, one or more permission identifiers are provided for each job requiring security management, which is classified in consideration of security management, and the permission list 12 is set in correspondence with each job.
それらの利用者識別名及び許可識別名は原則として公開
せず、必要な利用者のみに知らせておくように運用する
ものとする。As a general rule, those user identifiers and authorized identifiers should not be disclosed, and should be operated so that only necessary users are notified.
各許可リスト12には、各業務ごとの業務識別名、その業
務の実行を許可される利用者を示す1以上の利用者識別
名からなる許可利用者識別名、及び共用可能な計算機資
源のうちの所要の資源の資源識別名をそれそれ設定す
る。Each permission list 12 includes a business identification name for each business, a permitted user identification name composed of one or more user identification names indicating users who are permitted to execute the business, and shareable computer resources. Set the resource identifiers of the required resources for each.
こゝで問題とする計算機の資源には、例えばデータのフ
ァイル、プログラム又はコマンド(コマンドを実行する
プログラム)等があり、それぞれファイル名、コマンド
名、ファイルの集合であるライブラリを指定するライブ
ラリ名等によってプログラムファイル4、データファイ
ル5等の指定のファイルを指定することにより、許可リ
スト12に指定されている資源のみの使用を許可するよう
に制御する。The computer resources in question here are, for example, data files, programs or commands (programs that execute commands), etc., and file names, command names, library names that specify a library that is a set of files, etc. By designating designated files such as the program file 4 and the data file 5, the use of only the resources designated in the permission list 12 is controlled.
利用者が或る業務を実行する場合には、端末2から利用
者識別名及び許可識別名を入力する。When the user executes a certain task, the user identification name and the permission identification name are input from the terminal 2.
アクセス制御部11がその入力を受け取り、入力された許
可識別名に対応する該許可リストを検索する。そのため
に例えばアクセス制御部11は許可識別名と許可リストの
格納アドレスとの対応表を保持して、対応表から所要の
許可識別名を走査する。The access control unit 11 receives the input and searches the permission list corresponding to the input permission identifier. For this purpose, for example, the access control unit 11 holds a correspondence table of the permission identification name and the storage address of the permission list, and scans the required permission identification name from the correspondence table.
該当の許可リストがあれば、入力された利用者識別名
が、その許可リスト12に、許可利用者識別名として使用
されているかチェックし、許可されていれば業務を開始
させるためにその許可リストの内容を許可リスト12aと
して実行制御部13に渡す。又、該当の許可リストが無い
か、該当の許可利用者識別名が無ければ、利用者に対し
てアクセスを拒絶する。If there is a corresponding permission list, it is checked whether the entered user identification name is used as the permission user identification name in the permission list 12, and if it is permitted, the permission list is used to start the business. Is passed to the execution control unit 13 as the permission list 12a. If there is no corresponding permission list or there is no corresponding authorized user identification name, access is denied to the user.
実行制御部13は、その許可リスト12aに指定された業務
識別名によって定まる業務の実行を開始させる。この業
務開始は、例えば業務識別名をジョブ名として登録され
ているジョブ制御情報を使用することにより、通常の手
順で行うことができる。The execution control unit 13 starts the execution of the work defined by the work identification name specified in the permission list 12a. This job start can be performed by a normal procedure by using the job control information registered with the job identification name as the job name, for example.
業務が開始されると実行制御部13は、実行中の業務を監
視するために、業務中で新たな資源の要求が発生するご
とに制御を渡され、要求の資源を、許可リスト12aに指
定されている資源識別名を参照してチェックし、許可さ
れていれば制御を返して、業務の処理を進める。許可さ
れていない資源が要求された場合には、例えばその業務
の実行を中断させる等の処理を行う。When the work is started, the execution control unit 13 is given control in order to monitor the work in progress each time a request for a new resource is generated in the work, and specifies the requested resource in the permission list 12a. Check with reference to the registered resource identification name, and if permitted, return control to proceed with business processing. When an unauthorized resource is requested, a process such as interrupting the execution of the task is performed.
以上の説明から明らかなように本発明によれば、複数の
利用者の共用資源を有する計算機システムにおいて、業
務を実行する利用者及びその業務で使用可能な資源を業
務オリエンテッドに管理して、利用者には業務を指定す
る許可識別名を提示させるのみで、業務ごとに必要なレ
ベルのセキュリティ管理を行うことができるので、計算
機システムのセキュリティと利用性を向上するという著
しい工業的効果がある。As is apparent from the above description, according to the present invention, in a computer system having a shared resource of a plurality of users, a user who executes a job and resources that can be used in the job are managed in a job-oriented manner, Since the user can perform the required level of security management for each job simply by presenting the authorization identification name that specifies the job, there is a remarkable industrial effect of improving the security and usability of the computer system. .
第1図は本発明の構成を示すブロック図、 第2図は従来の構成例を示すブロック図 である。 図において、 1、10は処理装置、2は端末、 3、15は記憶装置、4はプログラムファイル、 5はデータファイル、6はセキュリティ制御部、 7は利用者管理リスト、 8はファイル管理リスト、 11はアクセス制御部、12、12aは許可リスト、 13は実行制御部 を示す。 FIG. 1 is a block diagram showing the configuration of the present invention, and FIG. 2 is a block diagram showing a conventional configuration example. In the figure, 1 and 10 are processing devices, 2 are terminals, 3 and 15 are storage devices, 4 are program files, 5 is data files, 6 is a security control unit, 7 is a user management list, 8 is a file management list, 11 is an access control unit, 12 and 12a are permission lists, and 13 is an execution control unit.
Claims (1)
算機システムにおいて、 所要の各業務ごとに、業務識別名、許可利用者識別名、
及び該共用可能な資源のうちの所要資源の資源識別名を
指定する許可リスト(12)と、 該利用者が利用者識別名及び許可識別名を入力した場合
に、該許可識別名に対応する該許可リストを検索する手
段(11)と、 該検索した許可リストに指定された該許可利用者識別名
に、該入力した利用者識別名が指定されていることを条
件として、該許可リスト(12)に指定された該業務識別
名によって定まる業務の実行を開始させる手段(11、1
3)と、 該業務の実行中に使用する資源を、該許可リスト(12)
に指定されている該資源識別名の範囲に限定する手段
(13)とを設けたことを特徴とするセキュリティ管理処
理方式。1. A computer system having resources that can be shared by a plurality of users, for each required business, a business identification name, an authorized user identification name,
And a permission list (12) for designating a resource identification name of a required resource among the sharable resources, and corresponding to the permission identification name when the user inputs the user identification name and the permission identification name A means (11) for searching the permission list, and the permission list (11) provided that the input user identification name is designated as the permitted user identification name designated in the retrieved permission list. A means (11, 1) for starting the execution of the business determined by the business identification name specified in 12)
3) and the resources used during the execution of the business are listed in the permission list (12).
And a means (13) for limiting the range of the resource identification name designated by the security management processing method.
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP63034341A JPH0789351B2 (en) | 1988-02-17 | 1988-02-17 | Security management processing method |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP63034341A JPH0789351B2 (en) | 1988-02-17 | 1988-02-17 | Security management processing method |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JPH01209561A JPH01209561A (en) | 1989-08-23 |
| JPH0789351B2 true JPH0789351B2 (en) | 1995-09-27 |
Family
ID=12411437
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP63034341A Expired - Fee Related JPH0789351B2 (en) | 1988-02-17 | 1988-02-17 | Security management processing method |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JPH0789351B2 (en) |
Families Citing this family (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JPH06250990A (en) * | 1993-02-25 | 1994-09-09 | Nec Corp | Computer resource access controller |
| JP3767698B2 (en) * | 1994-01-18 | 2006-04-19 | セイコーエプソン株式会社 | Menu creation method, menu display method, and information processing system therefor |
| US7079177B2 (en) | 1995-02-27 | 2006-07-18 | Canon Kabushiki Kaisha | Remote control system and access control method for information input apparatus with limitation by user for image access and camemremote control |
| JP3563889B2 (en) * | 1996-10-15 | 2004-09-08 | キヤノン株式会社 | Camera control system and camera control system control method |
| JP5503500B2 (en) * | 2010-11-02 | 2014-05-28 | 株式会社日立製作所 | Access right management device, access right management system, access right management method, and access right management program |
| EP4471637A4 (en) * | 2022-01-26 | 2025-03-19 | Humming Heads Inc | INFORMATION PROCESSING METHOD, PROGRAM AND STORAGE MEDIUM |
-
1988
- 1988-02-17 JP JP63034341A patent/JPH0789351B2/en not_active Expired - Fee Related
Also Published As
| Publication number | Publication date |
|---|---|
| JPH01209561A (en) | 1989-08-23 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US5832483A (en) | Distributed control interface for managing the interoperability and concurrency of agents and resources in a real-time environment | |
| US5774650A (en) | Control of access to a networked system | |
| EP0561509B1 (en) | Computer system security | |
| US5881225A (en) | Security monitor for controlling functional access to a computer system | |
| EP0326700B1 (en) | A trusted path mechanism for virtual terminal environments | |
| US6766397B2 (en) | Controlling access to a storage device | |
| EP0547741A1 (en) | Security mechanism for a computer system | |
| US20020078365A1 (en) | Method for securely enabling an application to impersonate another user in an external authorization manager | |
| JPH0388052A (en) | Secrecy protection processing system | |
| US20030135755A1 (en) | System and method for granting access to resources | |
| JPH07244639A (en) | Access right management device | |
| EP0915600A2 (en) | Distributed object system and service supply method therein | |
| JPH05346851A (en) | Software license managing device | |
| US7062660B2 (en) | Method and apparatus for controlling the performance of a file system mount operation by a user lacking superuser authority | |
| JPH0789351B2 (en) | Security management processing method | |
| JP4084850B2 (en) | Safety device and safety management method for data processing system | |
| Vinter | Extended discretionary access controls | |
| JP2000502825A5 (en) | ||
| JP2002358135A (en) | Device and method for managing software use, program for allowing computer to perform its method and computer readable recording medium with its program recorded | |
| JPH056322A (en) | Information resource accessing system | |
| JPH08241281A (en) | License control system | |
| JP2003058266A (en) | License management method and license management program | |
| JP3761648B2 (en) | Computer system | |
| JPH1021196A (en) | Operator command control method | |
| JPS628247A (en) | Control system for security of data |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| LAPS | Cancellation because of no payment of annual fees |