Deprecated: The each() function is deprecated. This message will be suppressed on further calls in /home/zhenxiangba/zhenxiangba.com/public_html/phproxy-improved-master/index.php on line 456
JP4111151B2 - Policy analysis system and method, and policy analysis program - Google Patents
[go: Go Back, main page]

JP4111151B2 - Policy analysis system and method, and policy analysis program - Google Patents

Policy analysis system and method, and policy analysis program Download PDF

Info

Publication number
JP4111151B2
JP4111151B2 JP2004057968A JP2004057968A JP4111151B2 JP 4111151 B2 JP4111151 B2 JP 4111151B2 JP 2004057968 A JP2004057968 A JP 2004057968A JP 2004057968 A JP2004057968 A JP 2004057968A JP 4111151 B2 JP4111151 B2 JP 4111151B2
Authority
JP
Japan
Prior art keywords
policy
resource
information
condition
policies
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
JP2004057968A
Other languages
Japanese (ja)
Other versions
JP2005250688A (en
Inventor
直人 前田
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
NEC Corp
Original Assignee
NEC Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by NEC Corp filed Critical NEC Corp
Priority to JP2004057968A priority Critical patent/JP4111151B2/en
Publication of JP2005250688A publication Critical patent/JP2005250688A/en
Application granted granted Critical
Publication of JP4111151B2 publication Critical patent/JP4111151B2/en
Anticipated expiration legal-status Critical
Expired - Fee Related legal-status Critical Current

Links

Images

Description

本発明はポリシ解析システム、ポリシ解析方法およびポリシ解析用プログラムに関し、特に同一の資源に対して同時にアクセスを行う可能性のあるポリシの集合を検出することのできるポリシ解析システム、ポリシ解析方法およびポリシ解析用プログラムに関する。   The present invention relates to a policy analysis system, a policy analysis method, and a policy analysis program, and in particular, a policy analysis system, a policy analysis method, and a policy that can detect a set of policies that may simultaneously access the same resource. It relates to an analysis program.

従来のポリシ解析システムの一例が、非特許文献1に記載されている。従来より、ネットワークとコンピュータにより構成される分散システムを、ある条件が成り立つときにとるべき動作が記述されたルールから成るポリシを用いて管理・制御する手法が採られているが、これらポリシを管理するためのポリシ解析システムが用いられる。ポリシ管理では、複数のポリシに従って分散システムの挙動を監視し、制御を行う。この時、システムを制御するポリシに誤りがある可能性があるが、このような誤りは分散システムの異常な振る舞いを導く原因となる可能性があるため、早期に発見することが望ましい。このような誤りのあるポリシを検出するためにポリシ解析システムが利用されている。   An example of a conventional policy analysis system is described in Non-Patent Document 1. Conventionally, a method for managing and controlling a distributed system composed of a network and a computer by using a policy composed of rules that describe actions to be taken when a certain condition is satisfied has been adopted. A policy analysis system is used. In policy management, the behavior of the distributed system is monitored and controlled according to a plurality of policies. At this time, there is a possibility that there is an error in the policy for controlling the system. However, since such an error may cause an abnormal behavior of the distributed system, it is desirable to detect it early. A policy analysis system is used to detect such an erroneous policy.

ここで、図8に、ポリシ制御を伴う分散システムの構成の概略を示し、また、従来のポリシ解析システムの構成を図9に示す。図8に示すように、ネットワーク105(バックボーン105a、サーバネットワーク105b、アクセスネットワーク105cを含む)を介して接続されたサーバコンピュータ102、装置103(ネットワーク機器など)、クライアント端末104からなる分散システムには、ポリシが蓄積されたポリシサーバ101が接続されており、このポリシサーバ101から各サーバ等の装置を制御するポリシが提供される。そして、このポリシサーバ自体が、ポリシを解析するポリシ解析システムとなっている。そして、ポリシ解析システムは、図9に示すように、入力装置130と、CPU内に構築されるポリシ衝突解析装置110と、記憶装置120と、出力装置140とから構成されている。ポリシ衝突解析装置110は、各処理を実現するポリシ管理器111と、ドメイン重複検査器112と、衝突検査器113とから構成されている。また、記憶装置120には、ポリシ記憶部121が形成されている。   Here, FIG. 8 shows an outline of the configuration of a distributed system with policy control, and FIG. 9 shows the configuration of a conventional policy analysis system. As shown in FIG. 8, a distributed system including a server computer 102, a device 103 (such as a network device), and a client terminal 104 connected via a network 105 (including a backbone 105a, a server network 105b, and an access network 105c) The policy server 101 in which the policy is stored is connected, and the policy server 101 provides a policy for controlling devices such as each server. The policy server itself is a policy analysis system for analyzing the policy. As shown in FIG. 9, the policy analysis system includes an input device 130, a policy collision analysis device 110 built in the CPU, a storage device 120, and an output device 140. The policy collision analyzer 110 includes a policy manager 111 that implements each process, a domain duplication checker 112, and a collision checker 113. In addition, a policy storage unit 121 is formed in the storage device 120.

ここで、入力装置130は、解析対象となるポリシの集合を各処理部が形成されたポリシ衝突解析装置110に与えるために用いられる。例えば、コンピュータのキーボードなどの入力装置130を用いて、人間が従来のポリシ解析システムを起動し、解析対象を指定する。ポリシ管理器111は、記憶部120より解析対象として指定されたポリシを取得する。そして、取得するポリシは、図10(a)に示すような構造を持っている(符号D101)。また、ドメイン重複検査器112は、ポリシ管理器111が取得した全ポリシの集合をもらいうけると、そのドメインが重複していないか検査を行う。そして、ドメイン重複検査器112は、検査の結果として、ドメインが重複しているポリシの集合を記録した中間結果管理表D103(図10(c))を生成し、衝突検査器113に渡す。この衝突検査器113は、中間結果管理表D103の各行で指定されたドメインの重複するポリシを対象に、衝突が発生するか否かを検査し、ポリシ衝突が発生するポリシの集合を格納した結果管理表D104(図10(d)参照)を生成し、出力装置140に渡す。出力装置140は、例えば、コンピュータのモニタなどであり、ポリシ衝突解析の結果として結果管理表D104を出力する。   Here, the input device 130 is used to give a set of policies to be analyzed to the policy collision analysis device 110 in which each processing unit is formed. For example, using an input device 130 such as a computer keyboard, a human starts a conventional policy analysis system and designates an analysis target. The policy manager 111 acquires the policy designated as the analysis target from the storage unit 120. The policy to be acquired has a structure as shown in FIG. 10A (reference numeral D101). When the domain duplication checker 112 receives a set of all policies acquired by the policy manager 111, the domain duplication checker 112 checks whether or not the domains overlap. Then, the domain duplication checker 112 generates an intermediate result management table D103 (FIG. 10C) in which a set of policies with overlapping domains is recorded as a result of the check, and passes it to the collision checker 113. The collision checker 113 checks whether or not a collision occurs in the overlapping policy of the domain specified in each row of the intermediate result management table D103, and stores a set of policies in which the policy collision occurs. A management table D104 (see FIG. 10D) is generated and passed to the output device 140. The output device 140 is, for example, a computer monitor, and outputs a result management table D104 as a result of policy collision analysis.

続いて、ポリシD101の構成について詳細に説明する。ポリシD101は、ポリシを識別するために割り当てられる識別子と、ポリシの種類と、ポリシが発火する条件を記述した条件節と、命令節で指定された命令を行うべき動作主と、命令節の命令の対象と、ポリシが発火した場合に行うべき命令節とより構成される。また、ポリシの種類は、義務ポリシ、禁止義務ポリシ、許可ポリシ、禁止ポリシの4種類である。義務ポリシは、対象が、命令節で指定された命令を行う義務があることを示すために用いられる。禁止義務ポリシは、対象が命令節で指定された命令を行ってはならないということを示すために用いられる。許可ポリシは、対象が命令節で指定された命令を行ってもよいことを示すために用いられる。禁止ポリシは、対象が命令節で指定された命令を行ってはならないことを示すために用いられる。一般に、許可ポリシと禁止ポリシはアクセス制御に利用され、義務ポリシと禁止義務ポリシは障害監視や対応などの監視・管理系に利用される。なお、禁止ポリシと禁止義務ポリシは概念は似ているが、用途が異なるため、ポリシを解釈・実行する処理系の扱いが禁止ポリシと禁止義務ポリシで異なる。また、動作主、及び、対象はドメイン名と呼ばれる文字列により指定される。ドメイン名に関しては次に詳しく説明する。なお、より一般的なポリシの構成が非特許文献2に記載されており、当該文献では、ポリシは条件節と命令節により構成される。   Next, the configuration of policy D101 will be described in detail. The policy D101 includes an identifier assigned to identify the policy, a policy type, a condition clause describing a condition that the policy is ignited, an operator who should execute the command specified in the command clause, and a command in the command clause And a command clause to be executed when the policy fires. Further, there are four types of policies: a duty policy, a prohibition duty policy, a permission policy, and a prohibition policy. The obligation policy is used to indicate that the subject is obliged to perform the command specified in the command clause. The prohibition obligation policy is used to indicate that the subject must not perform the command specified in the command clause. The permission policy is used to indicate that the subject may perform the command specified in the command clause. The forbidden policy is used to indicate that the object should not perform the instruction specified in the instruction clause. Generally, the permission policy and the prohibition policy are used for access control, and the duty policy and the prohibition duty policy are used for a monitoring / management system such as failure monitoring and response. The prohibition policy and the prohibition obligation policy are similar in concept, but have different uses. Therefore, the processing of the processing system that interprets and executes the policy differs between the prohibition policy and the prohibition obligation policy. Also, the main actor and target are specified by a character string called a domain name. The domain name will be explained in detail next. Note that a more general policy configuration is described in Non-Patent Document 2. In this document, a policy is composed of a conditional clause and a command clause.

また、上述したドメイン名は、ポリシの動作主や対象をあらわすオブジェクトを集合として指定するための文字列であり、ファイルシステムのディレクトリ名と類似している。ドメイン名は、ルートノードを一つだけ持つ非循環有効グラフ構造のデータと関連付けられている。図9(b)にそのデータの一例を示す。非循環有効グラフ構造のデータは、ルートノードとノードと有効辺とから構成され、ノードには動作主や対象をあらわすオブジェクトへの参照が格納されている。例えば、あるポリシにおいて、”/A/D”というドメイン名が動作主として与えられ、かつ、ドメイン名が、図9(b)で示したデータと関連付けられている場合、/A/Dで示されるノードDが持つオブジェクトの参照が、動作主をあらわすオブジェクトの集合として処理される。また別の例として、あるポリシにおいて、“/B”というドメイン名が動作主として与えられたとする。図9(b)に示すデータより、“/B”はノードCを参照していることがわかる。従って、“/B”というドメイン名があらわす動作主のオブジェクトの集合は、ノードBとノードCが持つオブジェクトの参照の和により得られる。このように、ドメインは、階層化された構造を持ったオブジェクトの集合を表す。   Further, the domain name described above is a character string for designating an object representing the policy operator and the object as a set, and is similar to the directory name of the file system. The domain name is associated with data of an acyclic effective graph structure having only one root node. FIG. 9B shows an example of the data. The data of the acyclic effective graph structure is composed of a root node, a node, and an effective edge, and the node stores a reference to an object representing an operation main or an object. For example, in a policy, when a domain name “/ A / D” is given as an operation and the domain name is associated with the data shown in FIG. 9B, it is indicated by / A / D. The reference of the object held by the node D is processed as a set of objects representing the operation subject. As another example, it is assumed that a domain name “/ B” is given as an operation principal in a certain policy. It can be seen from the data shown in FIG. 9B that “/ B” refers to the node C. Therefore, the set of objects of the main actor represented by the domain name “/ B” is obtained by the sum of the object references of the node B and the node C. Thus, a domain represents a set of objects having a hierarchical structure.

このような構成を有する従来のポリシ解析システムの動作を、上述した図9(a)と、図10のデータ構造図と、図11のシステム全体の動作を示すフローチャートと、を参照して説明する。   The operation of the conventional policy analysis system having such a configuration will be described with reference to FIG. 9A described above, the data structure diagram of FIG. 10, and the flowchart showing the overall operation of the system of FIG. .

まず、入力装置130により、ポリシ衝突解析装置110が解析するべきポリシの集合が与えられる。ポリシ管理器111は指定されたポリシの集合であるポリシ表D102(図10(b)参照)を、ポリシデータを記憶しているポリシ記憶部121より読み込むと、ドメイン重複検査器112にポリシ表D102を渡す(ステップS101)。ドメイン重複検査器112は、ポリシ表D102に含まれる全てのポリシの中から、次に示す条件を満たす全てのポリシの集合を算出し、中間結果管理表D103を作成し、ポリシ表D102とともに衝突検査器113に渡す(ステップS102)。求めるポリシの集合において成立する条件は、当該ポリシの集合に含まれる全てのポリシの動作主のドメイン名が指定するオブジェクトの集合の積集合が空ではなく、かつ、当該ポリシの集合に含まれる全ての対象のドメイン名が指定するオブジェクトの集合の積集合が空ではなく、かつ、当該ポリシの集合に含まれる全ての命令節に最低一つ以上の同じ名前を持つ命令が含まれている、というものである。このような性質を満たすポリシの集合とは、「動作主」と「対象」と「命令」との3つが重複する可能性があるポリシの集合である。   First, the input device 130 gives a set of policies to be analyzed by the policy collision analysis device 110. When the policy manager 111 reads the policy table D102 (see FIG. 10B), which is a set of designated policies, from the policy storage unit 121 storing policy data, the policy table D102 is stored in the domain duplication checker 112. (Step S101). The domain duplication checker 112 calculates a set of all policies satisfying the following conditions from all the policies included in the policy table D102, creates an intermediate result management table D103, and collides with the policy table D102. It passes to the container 113 (step S102). The condition that is satisfied in the set of policies to be obtained is that the product set of the set of objects specified by the domain names of all the policy operators included in the set of policies is not empty and is included in the set of policies. The intersection of the object sets specified by the target domain name is not empty, and all the command clauses included in the policy set contain at least one instruction with the same name. Is. A set of policies satisfying such a property is a set of policies in which three of “operator”, “target”, and “instruction” may overlap.

そして、中間結果管理表D103を受け取った衝突検査器113は、中間結果管理表D103の各行それぞれに対して、各行で指定されたポリシの集合を対象に、ポリシの種類の組み合わせが、(1)義務ポリシと禁止義務ポリシ、(2)許可ポリシと禁止ポリシ(3)義務ポリシと禁止ポリシ、のいずれかに相当する場合、そのような組み合わせとなるポリシの集合を発見し、そのようなポリシの識別子の集合を結果管理表D104に追加し、最終的に得られた結果管理表D104を出力装置140に渡し、当該出力装置140はその結果をモニタなどに出力する(ステップS103)。なお、ポリシの種類は、ポリシ表D102を用いて識別子からポリシを特定することで判明する。   Upon receiving the intermediate result management table D103, the collision inspector 113 sets the policy type combination for each row of the intermediate result management table D103 for the set of policies specified in each row. If it corresponds to one of the obligation policy and the prohibition obligation policy, (2) the permission policy and the prohibition policy, and (3) the obligation policy and the prohibition policy, a set of such policies is found, and The set of identifiers is added to the result management table D104, the finally obtained result management table D104 is passed to the output device 140, and the output device 140 outputs the result to a monitor or the like (step S103). The type of policy can be determined by specifying the policy from the identifier using the policy table D102.

このようにして得られた結果管理表D104は、同時に解釈することの不可能なポリシの集合を表しており、実際にそのようなポリシを処理して、ポリシ管理システムが不正な振る舞いを起こす前に、オペレータなどが不正なポリシを検出し排除することが可能となる。   The result management table D104 obtained in this way represents a set of policies that cannot be interpreted at the same time, before actually processing such policies and causing the policy management system to behave improperly. In addition, an operator or the like can detect and eliminate an illegal policy.

エミール・ルピュ(Emil C. Lupu)、モリス・スローマン(Morris Sloman)著、コンフリクツ・イン・ポリシーベースド・ディストリビューテッド・システムズ・マネージメント(Conflicts in Policy-Based Distributed Systems Management)、アイ・イー・イー・イー・トランザクションズ・オン・ソフトウェア・エンジニアリング(IEEE Transanctionson Software Engineering)、米国、1999年、第25巻、第6号、852〜869頁Emil C. Lupu, Morris Sloman, Conflicts in Policy-Based Distributed Systems Management, IEE・ Transactions on Software Engineering (IEEE Transanctionson Software Engineering), USA, 1999, Vol. 25, No. 6, pp. 852-869 ビー・ムーア(B. Moore)、他著、ポリシ・コア・インフォメーション・モデル(Policy Core Information Model)、アールエフシー3060(RFC3060)、インターネット・エンジニアリング・タスクフォース(Internet Engineering Task Force)、2001年B. Moore, et al., Policy Core Information Model, RFC3060, Internet Engineering Task Force, 2001

しかしながら、上記従来例に示すポリシ解析システムでは、以下のような不都合があった。まず、第1の問題点は、並行して同じ資源にアクセスする可能性があるようなポリシの集合を発見できないということである。すなわち、上記従来例では、(1)義務ポリシと禁止義務ポリシ、(2)許可ポリシと禁止ポリシ(3)義務ポリシと禁止ポリシ、のいずれかに相当する複数のポリシのみを検出しているだけであり、単に相反する制御指令を伴うポリシを検出しているにすぎず、複数のポリシが同じ対象に対してアクセスするか否かに関してなんら考慮を行っていない。このため、その他、並行して同じ資源にアクセスするポリシの集合を検出することができず、ポリシ管理システムの管理対象であるシステムに問題を引き起こす原因となるポリシを有効に排除することができず、ポリシ管理の対象となるシステムの安定化を図ることができない、という問題が生じる。例えば、非特許文献1において、資源へのアクセスが発生するポリシは義務ポリシであるが、当該文献においては、義務ポリシとまた別の義務ポリシが同じ資源にアクセスするか否かに関しては、なんら考慮を行っていない。かかる場合に、並行して同じ資源にアクセスするポリシの集合は、ポリシ管理システムの管理対象であるシステムに問題を引き起こす原因となるため、ポリシ解析により、そのようなポリシの集合を検出する必要がある。   However, the policy analysis system shown in the above conventional example has the following disadvantages. First, the first problem is that a set of policies that can access the same resource in parallel cannot be found. That is, in the above conventional example, only a plurality of policies corresponding to any one of (1) mandatory policy and prohibited policy, (2) permitted policy and prohibited policy, and (3) mandatory policy and prohibited policy are detected. However, it merely detects a policy with a contradictory control command, and does not consider whether or not a plurality of policies access the same target. For this reason, it is impossible to detect a set of policies that access the same resource in parallel, and it is not possible to effectively eliminate a policy that causes a problem in a system that is a management target of the policy management system. Therefore, there arises a problem that it is impossible to stabilize the system that is the target of policy management. For example, in Non-Patent Document 1, a policy that causes access to a resource is an obligation policy. However, in this document, no consideration is given as to whether an obligation policy and another obligation policy access the same resource. Not done. In such a case, a set of policies that access the same resource in parallel causes a problem in the system managed by the policy management system. Therefore, it is necessary to detect such a set of policies by policy analysis. is there.

また、第2の問題点は、並行して同じ資源にアクセスする可能性のあるポリシの集合を発見したとして、その得られた集合が、実際には安全に動作する可能性のあるポリシの集合を多く含んでいる可能性が高く、不必要にポリシを検出してしまい、正常なポリシをも排除しかねない、という問題が生じる。これは、ポリシ解析の際にポリシの条件節を考慮していないためである。従って、条件節に記述されている条件より、並行して(ほぼ同時に)同じ資源にアクセスすることがないことが明らかなポリシは危険ではないため、解析結果のポリシの集合から除外されるべきである。   The second problem is that a set of policies that may access the same resource in parallel is discovered, and the obtained set is a set of policies that may actually operate safely. There is a high possibility that a policy is included, and a policy is unnecessarily detected, and a normal policy may be excluded. This is because the policy conditional clause is not taken into consideration in the policy analysis. Therefore, policies that clearly do not access the same resource in parallel (almost simultaneously) than the conditions described in the conditional clause are not dangerous and should be excluded from the set of policy analysis results. is there.

このような問題点を解消すべく、本発明では、並行して同じ資源にアクセスする可能性のあるポリシの集合を発見できるポリシ解析システムを提供すること、をその目的とする。また、本発明の他の目的は、条件節を解析し、並行して同じ資源にアクセスすることがないことが明らかなポリシを検出し除外することのできるポリシ解析システムを提供すること、をその目的とする。   In order to solve such a problem, an object of the present invention is to provide a policy analysis system capable of finding a set of policies that may access the same resource in parallel. Another object of the present invention is to provide a policy analysis system capable of analyzing a conditional clause and detecting and excluding a policy that is clearly not accessed in parallel. Objective.

そこで、本発明では、制御対象となる資源を指定する資源指定情報と当該資源に対する制御指令を表す制御指令情報により構成された複数のポリシのうち、同一資源に対してアクセスされうるポリシを解析して検出するポリシ解析システムであって、
ポリシの制御対象となる資源毎に、当該資源にて作動可能なポリシによる制御指令を表す命令情報と、当該各制御指令が資源の状態に変化を与えるか否かという命令種類を表す命令種類情報と、が予め関連付けられて記憶された資源情報記憶手段を備えると共に、
解析対象となるポリシと資源情報記憶手段内の情報とに基づいて、各ポリシが対象とする資源と当該資源に対する制御指令とを当該ポリシに含まれる制御指令情報から判別し、さらに前記制御指令に対応する命令種類を前記命令種類情報から判別する命令検査手段と、
この判別結果に基づいて、同一の資源を対象とする2以上のポリシのうち、少なくとも一つのポリシに含まれる制御指令の少なくとも一つが対象となる資源の状態に変化を与える、という条件を満たす2以上のポリシの検出する重複検査手段と、
を備えた、という構成を採っている。
Therefore, in the present invention, among a plurality of policies that are more configured to control command information representing a control command for the resource specifying information and the resource that specifies the resources to be controlled, it can be accessed for the same resource policy A policy analysis system for analyzing and detecting
For each resource that is subject to policy control, command information that indicates a control command based on a policy that can be operated on the resource, and command type information that indicates whether each control command changes the state of the resource. And resource information storage means stored in association with each other in advance,
Based on the policy to be analyzed and the information in the resource information storage means, the resource targeted by each policy and the control command for the resource are determined from the control command information included in the policy, and the control command A command checking means for determining a corresponding command type from the command type information ;
Based on this determination result, among the two or more policies that target the same resource, 2 that satisfies the condition that at least one of the control commands included in at least one policy changes the state of the target resource Duplicate inspection means for detecting the above policy,
It has the structure of having.

このとき、上記構成に加えて、重複検査手段は、前記検出された2以上のポリシに関する情報を外部に出力する、という構成にすると望ましい。 At this time, in addition to the above structure, duplicate checking means is desirable when the information on two or more of the policy which the detected output to the external unit, and the configuration of.

このような構成にすることにより、まず、ポリシが対象とする資源と、その命令を抽出する。そして、各資源に対して、各命令が資源の状態を変化させるか否かを表す命令種別情報を参照して、同一資源に対してアクセスされるポリシであって、かつ、資源の状態を変化させるポリシの集合が検出される。これにより、並行して同一の資源にアクセスする可能性を持つポリシを見つけだすことができ、これらを出力してオペレータなどの通知することが可能となる。このため、そのようなポリシを修正したり、削除するなどの対策を取ることができ、ポリシ制御が組み込まれた分散システムなどの安定化を図ることができる。   With such a configuration, first, a resource targeted by the policy and its command are extracted. For each resource, refer to the instruction type information indicating whether or not each instruction changes the state of the resource, and the policy is accessed for the same resource and the state of the resource is changed. A set of policies to be detected is detected. As a result, it is possible to find a policy that has the possibility of accessing the same resource in parallel, and it is possible to output these and notify an operator or the like. For this reason, measures such as correcting or deleting such a policy can be taken, and stabilization of a distributed system or the like incorporating policy control can be achieved.

また、上記構成に加えて、ポリシは当該ポリシが作動する条件である作動条件情報を含むと共に、この作動条件情報に基づいて、重複検査手段にて検出された2以上のポリシのうち、並行に動作する可能性があるポリシを検出する条件検査手段を備えた、という構成にすると望ましい。そして、同様に、ポリシは当該ポリシが作動する条件である作動条件情報を含むと共に、この作動条件情報に基づいて、重複検査手段にて検出された2以上のポリシのうち、作動条件が同一であるポリシを検出する条件検査手段を備えた、という構成にすると望ましい。 Further, in addition to the above configuration, the policy includes operating condition information that is a condition for operating the policy, and based on the operating condition information, the policy is simultaneously selected from two or more policies detected by the duplication inspection means. It is desirable to provide a condition inspection means for detecting a policy that may operate . Similarly, the policy includes operating condition information that is a condition for operating the policy, and based on the operating condition information, the operating condition is the same among two or more policies detected by the duplicate inspection means. It is desirable to have a condition inspection means for detecting a certain policy.

このとき、オペレータあるいは外部接続された他の機器に対して所定の情報を出力する出力手段を有すると共に、条件検査手段は、検出したポリシに関する情報を出力手段を介して外部に出力する、という構成にしてもよい。   At this time, it has an output means for outputting predetermined information to an operator or other externally connected device, and the condition inspection means outputs information on the detected policy to the outside via the output means. It may be.

このような構成にすることにより、ポリシが作動する条件が検査され、同一資源に対して同時にアクセスされうるポリシを有効に検出することができ、より精度よく危険なポリシを検出することができる。従って、削除する必要なないポリシを削除してしまうなど、不必要な作業を排除でき、ポリシ制御が組み込まれたシステムのより安定した作動状態を維持することができる。   By adopting such a configuration, the conditions under which the policy operates are inspected, it is possible to effectively detect a policy that can be accessed simultaneously with respect to the same resource, and it is possible to detect a dangerous policy with higher accuracy. Therefore, unnecessary work such as deleting a policy that does not need to be deleted can be eliminated, and a more stable operating state of a system in which policy control is incorporated can be maintained.

また、本発明では、制御対象となる資源を指定する資源指定情報と当該資源に対する制御指令を表す制御指令情報により構成された複数のポリシのうち、同一資源に対してアクセスされうるポリシを、コンピュータにて解析して検出するポリシ解析方法であって、
予め前記資源毎に関連付けられて記憶部に記憶された、当該資源にて作動可能な制御指令を表す命令情報及び当該制御指令によって資源の状態に変化を与えるか否かという命令種類を表す命令種類情報と解析対象となるポリシとに基づいて、各ポリシが対象とする資源と当該資源に対する制御指令とを前記制御指令情報から判別し、さらに前記制御指令に対応する命令種類を前記命令種類情報から命令検査工程と、
この判別結果に基づいて、同一の資源を対象とする2以上のポリシを抽出するポリシ抽出工程と、
これら抽出されたポリシのうち少なくとも一つのポリシに含まれる制御指令の少なくとも一つが対象となる資源の状態に変化を与える、という条件を満たす2以上のポリシの検出する重複検査工程と、
を備えた、という構成のポリシ解析方法をも提供している。
Further, in the present invention, among a plurality of policies that are more configured to control command information representing a control command for the resource specifying information and the resource that specifies the resources to be controlled, it can be accessed for the same resource policy Is a policy analysis method for analyzing and detecting
Instruction information indicating control instructions operable in the resource and stored in the storage unit in association with each resource in advance, and an instruction type indicating whether or not the state of the resource is changed by the control instruction Based on the information and the policy to be analyzed, a resource targeted by each policy and a control command for the resource are determined from the control command information, and a command type corresponding to the control command is determined from the command type information. Order inspection process;
A policy extraction step of extracting two or more policies targeting the same resource based on the determination result;
A duplicate inspection process for detecting two or more policies that satisfy a condition that at least one of the control commands included in at least one of the extracted policies changes a state of a target resource;
The policy analysis method of the structure of having was provided.

そして、上記重複検査工程の後に、ポリシに含められた当該ポリシが作動する条件である作動条件情報に基づいて、重複検査工程にて検出された2以上のポリシのうち、並行に動作する可能性があるポリシを検出する条件検査工程を備えた、という構成の方法にすると望ましい。同様に、上記重複検査工程の後に、前記ポリシに含められた当該ポリシが作動する条件である作動条件情報に基づいて、重複検査工程にて検出された2以上のポリシのうち、作動条件が同一であるポリシを検出する条件検査工程を備えた、という構成の方法にすると望ましい。 Then, after the duplication inspection step, the possibility of operating in parallel among two or more policies detected in the duplication inspection step based on the operation condition information that is a condition under which the policy included in the policy operates . It is desirable to use a method having a condition inspection process for detecting a certain policy. Similarly, after the duplication inspection step, the operation conditions are the same among two or more policies detected in the duplication inspection step based on the operation condition information that is a condition for operating the policy included in the policy. It is desirable that the method has a condition inspection process for detecting a policy.

さらに、本発明では、制御対象となる資源を指定する資源指定情報と当該資源に対する制御指令を表す制御指令情報により構成された複数のポリシのうち、同一資源に対してアクセスされうるポリシを解析して検出するコンピュータに、
ポリシの制御対象となる資源毎に、当該資源にて作動可能なポリシによる制御指令を表す命令情報と、当該各制御指令が資源の状態に変化を与えるか否かという命令種類を表す命令種類情報と、が予め関連付けて記憶する資源情報記憶手段、
解析対象となるポリシと資源情報記憶手段内の情報とに基づいて、各ポリシが対象とする資源と当該資源に対する制御指令とを当該ポリシに含まれる制御指令情報から判別し、さらに前記制御指令に対応する命令種類を前記命令種類情報から判別する命令検査手段、
この判別結果に基づいて、同一の資源を対象とする2以上のポリシのうち、少なくとも一つのポリシに含まれる制御指令の少なくとも一つが対象となる資源の状態に変化を与える、という条件を満たす2以上のポリシの検出する重複検査手段、
を実現するためのポリシ解析用プログラムをも提供している。
Furthermore, in the present invention, among a plurality of policies that are more configured to control command information representing a control command for the resource specifying information and the resource that specifies the resources to be controlled, it can be accessed for the same resource policy To a computer that analyzes and detects
For each resource that is subject to policy control, command information that indicates a control command based on a policy that can be operated on the resource, and command type information that indicates whether each control command changes the state of the resource. Resource information storage means for storing in association with each other in advance,
Based on the policy to be analyzed and the information in the resource information storage means, the resource targeted by each policy and the control command for the resource are determined from the control command information included in the policy, and the control command Instruction inspection means for determining corresponding instruction types from the instruction type information ;
Based on this determination result, among the two or more policies that target the same resource, 2 that satisfies the condition that at least one of the control commands included in at least one policy changes the state of the target resource Duplicate inspection means for detecting the above policy,
We also provide a policy analysis program to achieve this.

そして、上記プログラムは、さらにコンピュータに、ポリシに含められた当該ポリシが作動する条件である作動条件情報に基づいて、重複検査手段にて検出された2以上のポリシのうち、並行に動作する可能性があるポリシを検出する条件検査手段、を実現するためのポリシ解析用プログラムでもある。また、同様に、ポリシに含められた当該ポリシが作動する条件である作動条件情報に基づいて、重複検査手段にて検出された2以上のポリシのうち、作動条件が同一であるポリシを検出する条件検査手段、をコンピュータに実現するためのポリシ解析用プログラムでもある。
Further, the above program can be operated in parallel among two or more policies detected by the duplication checking means based on operating condition information that is a condition for operating the policy included in the policy. It is also a policy analysis program for realizing a condition inspection means for detecting a policy having a characteristic. Similarly, based on operating condition information that is a condition for operating the policy included in the policy, a policy having the same operating condition is detected from two or more policies detected by the duplication inspection means. It is also a policy analysis program for realizing the condition checking means on a computer.

このような構成にしても、上述同様に機能するため、上記目的を達成することができる。   Even with such a configuration, the above object can be achieved because it functions in the same manner as described above.

本発明は、以上のように構成され機能するので、これによると、並行して同一の資源にアクセスする可能性を持つポリシを見つけだすことができ、これらを出力してオペレータなどの通知することが可能となる。このため、そのようなポリシを修正したり、削除するなどの対策を取ることができ、ポリシ制御が組み込まれた分散システムなどの安定化を図ることができる。   Since the present invention is configured and functions as described above, according to this, it is possible to find a policy having a possibility of accessing the same resource in parallel, and to output these and notify an operator or the like. It becomes possible. For this reason, measures such as correcting or deleting such a policy can be taken, and stabilization of a distributed system or the like incorporating policy control can be achieved.

本発明であるポリシ解析システムは、ネットワークにコンピュータや各機器が接続されたネットワークを用いた分散システムをはじめとした所定のシステム(例えば、図8参照)において、ポリシサーバが設置されてポリシ管理が行われている場合に、これらのポリシの衝突を回避するためにポリシを解析するためのポリシ解析システムである。従って、ポリシ解析システムは、分散システムなどに設置されたポリシサーバ内に設置されていてもよく、あるいは、別途、ポリシサーバ内のポリシを参照できるよう接続されたコンピュータにて構成されていてもよい。なお、本発明におけるポリシとは、ある条件が成り立つときにとるべき動作が記述されたルールから成るものであり、例えば、上記分散システム内のサーバや機器に対する制御指令が記述されたデータである。   The policy analysis system according to the present invention is a policy management system in which a policy server is installed in a predetermined system (for example, see FIG. 8) such as a distributed system using a network in which computers and devices are connected to a network. A policy analysis system for analyzing a policy in order to avoid a collision of these policies when it is performed. Therefore, the policy analysis system may be installed in a policy server installed in a distributed system or the like, or may be separately configured by a computer connected so that the policy in the policy server can be referred to. . The policy in the present invention is a rule that describes an action to be taken when a certain condition is satisfied. For example, the policy is data that describes a control command for a server or device in the distributed system.

そして、ポリシ解析システムは、複数のポリシが同一の資源に対してアクセスし、かつ、そのうちのいずれかの制御指令が資源の状態を変更するようなものである場合に、そのようなポリシの集合を検出する、というものである。これにより、これら検出されたポリシを変更したり排除するなどすることにより、ポリシ制御の対象となるシステムの安定化を図る、というものである。以下、ポリシ解析システムの構成、動作について、各実施例を通じて説明する。   The policy analysis system then collects such policies when a plurality of policies access the same resource and any one of these control commands changes the state of the resource. Is detected. Thus, the system that is the target of policy control is stabilized by changing or eliminating these detected policies. Hereinafter, the configuration and operation of the policy analysis system will be described through each embodiment.

本発明の第一の実施例について、図1乃至6を参照して説明する。図1は、ポリシ解析システムの構成を示す機能ブロック図である。図2乃至図3は、本システムで用いられるデータの構造を示す説明図である。図4乃至図6は、本システムの動作を示すフローチャートである。   A first embodiment of the present invention will be described with reference to FIGS. FIG. 1 is a functional block diagram showing the configuration of the policy analysis system. 2 to 3 are explanatory diagrams showing the structure of data used in this system. 4 to 6 are flowcharts showing the operation of this system.

(構成)
図1に示すように、本実施例におけるポリシ解析システムは、解析対象のポリシの集合を指定するために利用されるコンピュータのキーボード等の入力装置30と、与えられたポリシの集合の中から並行に同じ資源にアクセスする可能性のある全てのポリシの集合を算出する機能を備えたポリシ並行アクセス解析装置10と、コンピュータに内蔵されている揮発性、または不揮発性の記憶領域である記憶装置20と、コンピュータのモニタ等の出力装置40とから構成されている。ここで、ポリシ並行アクセス解析装置10は、コンピュータのCPU内に、予め用意されたポリシ解析用プログラムが組み込まれることで実現される。すなわち、プログラムにより、以下に示す各処理部(各機器)がCPU内に構築されることとなる。以下、各構成について詳述する。
(Constitution)
As shown in FIG. 1, the policy analysis system according to the present embodiment includes an input device 30 such as a computer keyboard used for designating a set of policies to be analyzed, and a parallel set from a set of policies. The policy parallel access analysis device 10 having a function of calculating a set of all policies that may access the same resource and a storage device 20 that is a volatile or nonvolatile storage area built in the computer And an output device 40 such as a computer monitor. Here, the policy parallel access analysis device 10 is realized by incorporating a policy analysis program prepared in advance in a CPU of a computer. That is, the following processing units (each device) are built in the CPU by the program. Hereinafter, each configuration will be described in detail.

まず、記憶装置20は、ポリシ管理に利用されるポリシを格納したポリシ記憶部21と、ポリシを記述するために利用される型の情報を格納した型情報記憶部22と、が形成されている。そして、図2(a)に示すポリシD1は、ポリシの構成の一例である。この図に示すように、ポリシD1は、識別子と、条件節と、命令節とからなる。識別子は、ポリシを他のポリシと区別するために利用される整数や文字列である。条件節は、当該のポリシが発火するための条件式が記述される。すなわち、ポリシを解釈処理するポリシ実行系では、イベントが発生すると全てのポリシを評価し、条件式が真ならばポリシの持つ命令節を実行する。命令節には、ポリシの制御対象となる資源に対する制御指令である命令と、その命令を適用する対象となる資源の列が記述されている。例えば、“t1.invoke1(param1);”という命令は、対象t1に対して、引数がparam1で命令invoke1を適用すると解釈される。なおt1は、あらかじめポリシを管理するサーバ内やポリシ記憶部内、さらにはポリシデータ内で定義されているものとし、t1などの対象を示す変数にはあらかじめ後述する「型」が割り当てられているものとする。なお、本発明では、ポリシ解析システム内でも定義されているものとする。   First, the storage device 20 is formed with a policy storage unit 21 storing a policy used for policy management and a type information storage unit 22 storing a type information used for describing the policy. . And policy D1 shown to Fig.2 (a) is an example of a structure of a policy. As shown in this figure, the policy D1 includes an identifier, a conditional clause, and an instruction clause. The identifier is an integer or a character string used to distinguish the policy from other policies. In the conditional clause, a conditional expression for igniting the policy is described. That is, the policy execution system that interprets the policy evaluates all policies when an event occurs, and executes the command clause of the policy if the conditional expression is true. The command section describes a command that is a control command for a resource to be controlled by the policy, and a sequence of resources to which the command is applied. For example, the command “t1.invoke1 (param1);” is interpreted as applying the command invoke1 with the argument param1 to the target t1. Note that t1 is defined in advance in the server that manages the policy, in the policy storage unit, and in the policy data, and a variable that indicates the target such as t1 is assigned a “type” to be described later in advance. And In the present invention, it is also defined in the policy analysis system.

また、上記記憶装置20に形成された型情報記憶部22に記憶されている型情報管理表D6(図3(c)参照)は、ポリシ制御の対象となる各資源に関する情報を表している。すなわち、各資源は「型」名にて表されており、各型において作動可能なポリシによる制御指令を表す命令情報と、その命令の種別を表す命令種別情報と、が関連付けられている。従って、型情報は、型を示すための文字列である「型名」毎に、ポリシが提供することの出来る「命令」と、その命令の「種別」と、の二つ組の列より構成される。なお、「種別」とは、命令が対象(資源、型)に対してどのような影響を与えるものかを示す情報であり、具体的には、対象である機器の状態を変化させる命令であるか否かを区別して表す命令種別情報である。ここでは、対象の状態を変化させる命令であることを示す種別をここでは「W」と呼び、機器の状態を変化させない命令であることを示す種別を「R」と呼ぶ。なお、属性不明のものを「U」として種別に含めても良い。但し、属性不明のものは「W」と同等に扱えばよいため、ここでは「W」と「R」のみを扱うこととする。具体的には、管理対象の機器をWebサーバとし、型名をWebServerと名づけたとする。Webサーバが提供する命令として、今の稼働率を示す”getPerformance”という命令と、Webサーバがコンテンツを公開してよい要求元を追加する”addAccessList”を持っているとする。getPerformaceは、機器の状態を読み込むだけなので、機器の状態に変化を与えない。従って、getPerformaceには種別として「W」が割り当てられる。一方、addAccessListはアクセスリストを更新するため、種別として「W」が割り当てられる。この情報を、図3(c)に示す型情報管理表D6を用いて前記型情報を示すと、{WebServer | (getPerformance, R), (addAccessList, W)}のようになる。このように、あらかじめ管理対象の機器に対応する型情報が与えられ、型情報記憶部22に格納されているものとする。   In addition, the type information management table D6 (see FIG. 3C) stored in the type information storage unit 22 formed in the storage device 20 represents information on each resource that is the target of policy control. That is, each resource is represented by a “type” name, and command information indicating a control command based on an operable policy in each type is associated with command type information indicating the type of the command. Therefore, the type information is composed of two sets of columns of “instruction” that can be provided by the policy and “type” of the instruction for each “type name” which is a character string for indicating the type. Is done. The “type” is information indicating how the command affects the target (resource, type), and specifically, a command for changing the state of the target device. This is command type information that distinguishes whether or not. Here, the type indicating that the command is for changing the target state is referred to as “W”, and the type indicating the command for not changing the state of the device is referred to as “R”. In addition, you may include a thing with unknown attribute in a classification as "U". However, since it is sufficient to handle an unknown attribute equivalent to “W”, only “W” and “R” are handled here. Specifically, it is assumed that the device to be managed is a Web server and the model name is WebServer. Assume that the Web server has a command “getPerformance” indicating the current operation rate and an “addAccessList” for adding a request source to which the Web server can publish content. Since getPerformace only reads the device status, it does not change the device status. Accordingly, “W” is assigned to getPerformace as a type. On the other hand, “add” is assigned as the type to addAccessList to update the access list. When this type information is shown using the type information management table D6 shown in FIG. 3C, {WebServer | (getPerformance, R), (addAccessList, W)} is obtained. In this way, it is assumed that type information corresponding to a device to be managed is given in advance and stored in the type information storage unit 22.

そして、上述したポリシ並行アクセス解析装置10は、ポリシ管理器11と、命令検査器12と、型情報管理器13と、ターゲット重複検査器14とを含む。ポリシ管理器11は、解析対象として指定されたポリシをポリシ記憶部21より読み込み、読み込んだデータを命令検査器12に渡す。この時、ポリシ記憶部21から読み込まれ命令検査器12に渡されるデータであるポリシ表D2の構成の一例を、図2(b)に示す。命令検査器12は、ポリシ表D2を受け取ると、ポリシの中で登場する対象となる資源に対応する「型」の情報を、型情報管理器13より取得し、各ポリシを解析して図2(c)に示す中間結果管理表D3を生成して、生成した中間結果管理表D3とポリシ表D2をターゲット重複検査器14に渡す。このとき、命令検査器12は、予めポリシ制御の対象となる資源の変数(ドメイン名など)と、型と、の対応関係が予め記憶された処理部を構成している。従って、ポリシ表D2内の命令節に含まれる制御対象の変数から型名を取得することができる。そして、型情報管理器13は、命令検査器12より型情報取得要求を受け付けると、指定された型の情報を型情報記憶部22から読み込み、要求された型情報全てを含んだ型情報管理表D6を命令検査器12に渡す。そして、ターゲット重複検査器14は、命令検査器12から中間結果管理表D3を受け取ると、命令の対象が重複していないかを検査し、最終的に並行して同じ資源にアクセスする可能性のあるポリシの集合の表である結果管理表D5(図3(b)参照)を生成すると出力装置40に渡して結果を出力する。以上の各処理部である機器11,12,13,14の詳細な機能については、以下の動作説明と共に説明する。   The policy parallel access analysis apparatus 10 described above includes a policy manager 11, an instruction checker 12, a type information manager 13, and a target duplication checker 14. The policy manager 11 reads the policy designated as the analysis target from the policy storage unit 21 and passes the read data to the instruction checker 12. At this time, an example of the configuration of the policy table D2 which is data read from the policy storage unit 21 and passed to the instruction checker 12 is shown in FIG. Upon receiving the policy table D2, the instruction checker 12 acquires “type” information corresponding to the target resource appearing in the policy from the type information manager 13, and analyzes each policy to obtain FIG. The intermediate result management table D3 shown in (c) is generated, and the generated intermediate result management table D3 and policy table D2 are passed to the target duplication checker 14. At this time, the instruction checker 12 constitutes a processing unit in which a correspondence relationship between a variable (domain name or the like) of a resource subject to policy control and a type is stored in advance. Therefore, the type name can be acquired from the variable to be controlled included in the command clause in the policy table D2. When the type information management unit 13 receives a type information acquisition request from the instruction checker 12, the type information management table 13 reads the specified type information from the type information storage unit 22 and includes all the requested type information. D6 is passed to the instruction checker 12. When the target duplication checker 14 receives the intermediate result management table D3 from the instruction checker 12, the target duplication checker 14 checks whether the target of the instruction is duplicated, and finally may access the same resource in parallel. When a result management table D5 (see FIG. 3B), which is a table of a set of policies, is generated, the result is output to the output device 40 and output. Detailed functions of the devices 11, 12, 13, and 14 serving as the processing units described above will be described together with the following description of operations.

(動作)
次に、上記構成のポリシ解析システムの動作を、図4乃至図6を参照して説明する。図4は、システム全体の動作概要を示すフローチャートである。図5は、図4のステップS4の詳細な動作を示すフローチャートである。図6は、図4のステップS5の詳細は動作を示すフローチャートである。
(Operation)
Next, the operation of the policy analysis system configured as described above will be described with reference to FIGS. FIG. 4 is a flowchart showing an outline of the operation of the entire system. FIG. 5 is a flowchart showing the detailed operation of step S4 of FIG. FIG. 6 is a flowchart showing details of the operation in step S5 of FIG.

まず、人間または他システムは、入力装置30を用いて、解析対象であるポリシの集合を指定する。ポリシ管理器11は解析対象として指定されたポリシを含んだポリシ表D2を、ポリシ記憶部21より読み出し、ポリシ表D2を命令検査器12に渡す(ステップS1)。   First, a human or another system uses the input device 30 to specify a set of policies to be analyzed. The policy manager 11 reads the policy table D2 including the policy specified as the analysis target from the policy storage unit 21, and passes the policy table D2 to the instruction checker 12 (step S1).

続いて、命令検査器12はポリシ表D2に含まれるポリシで利用されている全ての型名を求める(ステップS2)。すなわち、命令節に含まれる命令の対象となる各資源を表す変数に対応する型名を求める。このとき、例えば、各資源に対して型名は予め設定されており、かかる情報が命令検査器12にてプログラム化されている。   Subsequently, the instruction checker 12 obtains all the model names used in the policies included in the policy table D2 (step S2). That is, the type name corresponding to the variable representing each resource that is the target of the instruction included in the instruction section is obtained. At this time, for example, type names are set in advance for each resource, and such information is programmed in the instruction checker 12.

続いて、命令検査器12は型情報管理器13から型名を用いて型情報管理表D6を取得する。型情報管理器13は、命令検査器12から取得したい型名の集合を渡されると、その型名に相当する型情報を型情報記憶部22より読み込み、その結果を型情報管理表D6として命令検査器12に渡す(ステップS3)。そして、命令検査器12は型情報管理表D6を用いて、ポリシ表D2の各ポリシを解析し、解析結果をまとめた中間結果管理表D3を作成し、ポリシ表D2と中間結果管理表D3をターゲット衝突検査器14に渡す(ステップS4)。   Subsequently, the instruction checker 12 acquires the type information management table D6 from the type information manager 13 using the type name. When the type information manager 13 receives a set of type names to be acquired from the instruction checker 12, the type information manager 13 reads the type information corresponding to the type name from the type information storage unit 22, and uses the result as a type information management table D6. It passes to the inspection device 12 (step S3). Then, the instruction checker 12 analyzes each policy of the policy table D2 using the type information management table D6, creates an intermediate result management table D3 that summarizes the analysis results, and creates the policy table D2 and the intermediate result management table D3. It is passed to the target collision inspector 14 (step S4).

続いて、ターゲット重複検査器14は、ポリシ表D2と中間結果管理表D3を受け取ると、制御対象である資源(型)の重複しているポリシの集合を算出し、結果管理表D5を作成し、出力装置40に渡す(ステップS5)。ここで、結果管理表D5の各行は、それぞれ並行して同じ資源にアクセスする可能性のあるポリシの識別子の集合を表している。出力表示40は、結果管理表D5を解析結果としてモニタの画面やプリンタなどに出力する(ステップS6)。なお、出力装置40は、ポリシ管理器11よりポリシ表D2を取得し、結果管理表D5で示される識別子で示されるポリシを求め、解析結果として、識別子ではなく、ポリシそのものを表示しても良い。   Subsequently, when the target duplication checker 14 receives the policy table D2 and the intermediate result management table D3, it calculates a set of policies in which resources (types) to be controlled are duplicated, and creates a result management table D5. , To the output device 40 (step S5). Here, each row of the result management table D5 represents a set of policy identifiers that may access the same resource in parallel. The output display 40 outputs the result management table D5 as an analysis result to a monitor screen or a printer (step S6). The output device 40 may obtain the policy table D2 from the policy manager 11, obtain the policy indicated by the identifier shown in the result management table D5, and display the policy itself instead of the identifier as the analysis result. .

次に、上述した図4に示すステップS4の命令検査器12により処理の動作について図5を参照して詳細に説明する。命令検査器12は、ステップS4の時点で、解析対象であるポリシのデータを含んだポリシ表D2と、当該ポリシ表の各ポリシに登場する型の情報を含んだ型情報管理表D6を持っている。   Next, the operation of processing by the instruction checker 12 in step S4 shown in FIG. 4 will be described in detail with reference to FIG. At the time of step S4, the instruction checker 12 has a policy table D2 containing the data of the policy to be analyzed, and a type information management table D6 containing information on the types appearing in each policy of the policy table. Yes.

まず、命令検査器12はポリシ表D2に含まれるポリシからまだ検査していないポリシを一つ取り出す(ステップA1にて否定判断、ステップA2)。なお、全てのポリシを検査したら処理を終え(ステップA1にて肯定判断)、ステップS5のターゲット重複検査処理に進む。次に、命令検査器12は、図3(a)に示す命令検査表D4を初期化する(ステップA3)。命令検査表D4は、型名と種別の二つ組からなる表であり、命令検査器12内に構築されるデータである。この命令検査表D4の初期化では、ステップA2で選択したポリシに登場する全ての型名を左の項の要素として埋め込み、右の項の種別は全てnullにしておく。そして、命令検査器12は、ステップA2で選択したポリシに登場する、全ての命令を検査する。すでに、全ての命令を検査していたら(ステップA4にて肯定判断)、後述するステップA10に移る。   First, the instruction checker 12 takes out one policy that has not been checked yet from the policies included in the policy table D2 (No determination at step A1, step A2). If all the policies have been inspected, the process ends (affirmative determination in step A1) and the process proceeds to the target duplication inspection process in step S5. Next, the instruction checker 12 initializes the instruction check table D4 shown in FIG. 3A (step A3). The instruction check table D4 is a table composed of two sets of type name and type, and is data built in the instruction checker 12. In the initialization of the instruction check table D4, all type names appearing in the policy selected in step A2 are embedded as elements of the left term, and the types of the right term are all null. Then, the instruction checker 12 checks all instructions appearing in the policy selected in step A2. If all the instructions have already been inspected (Yes in Step A4), the process proceeds to Step A10 described later.

そして、全ての命令の検査が済んでいない場合には(ステップA4にて否定判断)、検査していない命令を一つ選択する(ステップA5)。このとき、ポリシ内に登場する命令は、全てその命令の適用対象である機器を表す型と関連付けられているものとする。そして、選択した命令と、その適用対象である型から、型情報管理表D6を用いて、その命令の種別を求める。ここで、種別が「W」(対象の資源の状態を変化させる命令)であればステップA9に移る(ステップA6にて肯定判断)。一方、種別が「W」ではない場合、命令検査表D4を用いて、型の型名に対応付けられた種別を調べ、種別が「W」の場合は(ステップA7にて肯定判断)、ステップA4に移る。また、ステップA7にて型名の種別が「W」ではない場合(ステップA7にて否定判断)、命令検査表D4の当該型名の種別を「R」にする(ステップステップA8)。ここで、上述したステップA6にて求めた種別が「W」の場合、命令検査表D4の型の型名の種別を「W」にする(ステップA9)。   If all the instructions have not been inspected (No in Step A4), one instruction that has not been inspected is selected (Step A5). At this time, it is assumed that all commands appearing in the policy are associated with a type representing a device to which the command is applied. Then, the type of the instruction is obtained from the selected instruction and the type to which the instruction is applied, using the type information management table D6. If the type is “W” (an instruction to change the state of the target resource), the process proceeds to step A9 (affirmative determination in step A6). On the other hand, if the type is not “W”, the type associated with the type name of the type is checked using the instruction check table D4. If the type is “W” (Yes in step A7), step Move to A4. If the type name type is not “W” in Step A7 (No in Step A7), the type name type in the instruction check table D4 is set to “R” (Step A8). Here, when the type obtained in step A6 is “W”, the type name type of the type in the instruction check table D4 is set to “W” (step A9).

そして、ステップA2で選択したポリシに登場する全ての命令を検査したら(ステップA4にて肯定判断)、命令検査表D4の中から種別がnullとなっている型名を削除し、ステップA2で選択したポリシの識別子を左の項、命令検査表D4の結果を右の項として中間結果管理表D3に新しい行として追加し(ステップA10)、ステップA1に戻る。このようにして、命令検査器12は、調査対象の各ポリシに登場する型に対して種別を割り当てた中間結果管理表D4を生成すると、ポリシ表D2と共にターゲット重複検査器14に渡す。   When all the instructions appearing in the policy selected in step A2 are checked (affirmed in step A4), the type name whose type is null is deleted from the instruction check table D4, and selected in step A2. The policy identifier is added as a new term to the intermediate result management table D3 with the left term and the result of the instruction check table D4 as the right term (step A10), and the process returns to step A1. In this manner, when the instruction checker 12 generates the intermediate result management table D4 in which the type is assigned to the type appearing in each policy to be investigated, it passes it to the target duplication checker 14 together with the policy table D2.

次に、図4のステップS5に示すターゲット重複検査器14による処理動作について、図6を参照して詳細に説明する。はじめに、ターゲット重複検査器14は、図4のステップS5の時点で、ポリシ表D2と中間結果管理表D3を持っている。   Next, the processing operation by the target duplication checker 14 shown in step S5 of FIG. 4 will be described in detail with reference to FIG. First, the target duplication checker 14 has a policy table D2 and an intermediate result management table D3 at the time of step S5 in FIG.

まず、ターゲット重複検査器14は、中間結果管理表D3の右の項に登場する全ての型を対象に検査を行う(ステップB1)。まだ検査していない型が存在する場合(ステップB1にて否定判断)、未検査の型を一つ選択し、TrueがFalseの値のいずれかを持つフラグを一つ作成し、フラグの値をFalseに設定し、空のリストを一つ作成する(ステップB2)。次に、選択した型を用いて、全てのポリシの検査を行う(ステップB3)。もし、全てのポリシを検査し終えていたら(ステップB3にて肯定判断)、ステップB9に移る。まだ検査していないポリシが存在する場合、未検査のポリシを一つ選択する(ステップB4)。   First, the target duplication checker 14 checks all types appearing in the right term of the intermediate result management table D3 (step B1). If there is a type that has not been checked yet (No in Step B1), select one type that has not been checked, create one flag that has any of True and False, and set the flag value Set to False and create one empty list (step B2). Next, all policies are inspected using the selected mold (step B3). If all the policies have been inspected (Yes in step B3), the process proceeds to step B9. If there is a policy that has not been inspected yet, one uninspected policy is selected (step B4).

そして、ステップB4にて選択したポリシの識別子より、中間結果管理表D3を調べ、対応する右側の項にステップB2で選択した型名が含まれていない場合(ステップB5にて否定判断)、ステップB3に戻る。型名が含まれている場合(ステップB5にて肯定判断)、中間結果管理表D3より、その種別を調べ(ステップB6)、種別が「W」であればステップB7に進む(ステップB6にて肯定判断)。それ以外の場合は(ステップB6にて否定判断)、ステップB8に進む。そして、ステップB7では、種別が「W」の場合にフラグをTrueにセットする(ステップB7)。その後、ステップB2で用意したリストにポリシの識別子を追加し(ステップB8)、ステップB3に戻る。   Then, the intermediate result management table D3 is examined from the policy identifier selected in step B4, and if the type name selected in step B2 is not included in the corresponding right term (determination is negative in step B5), step Return to B3. If the type name is included (Yes in step B5), the type is checked from the intermediate result management table D3 (step B6). If the type is “W”, the process proceeds to step B7 (in step B6). Affirmative). In other cases (negative determination in step B6), the process proceeds to step B8. In step B7, if the type is “W”, the flag is set to True (step B7). Thereafter, the policy identifier is added to the list prepared in step B2 (step B8), and the process returns to step B3.

そして、ステップB3で、全てのポリシを検査し終えたら(ステップB3にて肯定判断)、フラグを検査し(ステップB9)、TrueでなければステップB1に戻る(ステップB9にて否定判断)。フラグがTrueで(ステップB9にて肯定判断)、リストの要素数が二つ以上であれば(ステップB10にて肯定判断)、ステップB11に進み、そうでない場合(ステップB10にて否定判断)、ステップB1に戻る。ステップB11では、ポリシの識別子が含まれたリストを結果管理表D5に新しい行として追加し、ステップB1に戻る。   When all the policies have been inspected in step B3 (positive determination in step B3), the flag is inspected (step B9). If not true, the process returns to step B1 (negative determination in step B9). If the flag is True (Yes in Step B9) and the number of elements in the list is two or more (Yes in Step B10), the process proceeds to Step B11, otherwise (No in Step B10). Return to Step B1. In step B11, the list including the policy identifier is added as a new row to the result management table D5, and the process returns to step B1.

そして、全ての型を検査し終えると(ステップB1にて肯定判断)、結果管理表D5を出力装置40に送信する。このとき、結果管理表の各行は、並行して同じ対象にアクセスし、かつアクセスが発生する命令のいずれかが「W」属性、つまり、対象の状態を変更する可能性があるものであるようなポリシの識別子のリストとなっている。   When all the molds have been inspected (Yes in step B1), the result management table D5 is transmitted to the output device 40. At this time, each row of the result management table accesses the same target in parallel, and any of the instructions that cause access may change the “W” attribute, that is, the state of the target. This is a list of policy identifiers.

このようにすることにより、本実施例では、各ポリシに登場する型とその命令の属性情報を解析することにより、同じ対象を表す型に対して複数のポリシが並行してアクセスし、かつ、そのうちの一つ以上のアクセスに対応する命令が対象の状態を変更するようなものであるポリシの識別子の集合を全て算出するように構成されているため、並行して同じ資源にアクセスする可能性のあるポリシの集合を求めることができる。そして、かかる結果を出力することにより、オペレータがそのようなポリシの条件や制御指令の内容を変更したり、削除するなどの対応を採ることができ、ポリシが与えられるシステムの安定化を図ることができる。なお、検出されたポリシは、コンピュータにてポリシサーバから自動的に削除されるなどの対処が行われてもよい。あるいは、その作動を一時的に停止するようにしてもよい。   By doing so, in this embodiment, by analyzing the type appearing in each policy and the attribute information of the instruction, a plurality of policies access the type representing the same object in parallel, and Since it is configured to calculate the entire set of policy identifiers for which the instruction corresponding to one or more of the accesses changes the target state, the possibility of accessing the same resource in parallel A set of policies can be obtained. By outputting such a result, the operator can take measures such as changing or deleting the conditions of such a policy or the contents of the control command, and stabilize the system to which the policy is given. Can do. The detected policy may be dealt with such as being automatically deleted from the policy server by the computer. Alternatively, the operation may be temporarily stopped.

次に、本発明の第二の実施例について、図7を参照して説明する。図7(a)は、本実施例におけるポリシ解析システムの構成を示す機能ブロック図であり、図7(b)は、当該システムで用いられるデータの構造を示す図である。   Next, a second embodiment of the present invention will be described with reference to FIG. FIG. 7A is a functional block diagram showing the configuration of the policy analysis system in this embodiment, and FIG. 7B is a diagram showing the structure of data used in the system.

(構成)
本実施例におけるポリシ解析システムは、上述した実施例1におけるシステムとほぼ同様の構成を採っているが、ポリシ並行アクセス解析装置10’が条件検査器15を備えている点で異なる。これに伴い、ターゲット重複検査器14’と、出力装置40’が若干異なる。以下、これを詳述する。
(Constitution)
The policy analysis system according to the present embodiment has substantially the same configuration as the system according to the first embodiment described above, but differs in that the policy parallel access analysis device 10 ′ includes a condition checker 15. Along with this, the target duplication tester 14 ′ and the output device 40 ′ are slightly different. This will be described in detail below.

本実施例におけるターゲット重複検査器14’は、条件検査器15に結果管理表D3とポリシ表D2を送信する。また、出力装置40’は、条件解析表D7(図7(b)参照)を条件検査器15より受け取る。なお、これら機器14’、装置40’の他の基本的な動作は、上記実施例1の場合と同様である。   The target duplication checker 14 ′ in this embodiment transmits a result management table D 3 and a policy table D 2 to the condition checker 15. The output device 40 ′ receives the condition analysis table D 7 (see FIG. 7B) from the condition checker 15. The other basic operations of the device 14 'and the device 40' are the same as those in the first embodiment.

そして、条件検査器15は、ターゲット重複検査器14’より結果管理表D3とポリシ表D2を受信すると、識別子で指定された各ポリシの条件節を解析し、並行してアクセスすることがないポリシ群を結果管理表D5から取り除き、図7(b)に示す条件解析表D7を作成する。そして、この作成した条件解析表D7を、出力装置40’に送信する。条件検査器15は、各ポリシの条件節を解析することにより、実際には条件節の定義により並行してアクセスすることがないと保証することのできるポリシ群を取り除いた、第1の実施の形態により得られる結果管理表D5より精度の高い解析結果を求める機能をもつ。なお、精度が高いとは、得られた解析結果の中に、実際に並行して同じ資源にアクセスするポリシ集合が含まれる率が高いことを意味する。   When the condition checker 15 receives the result management table D3 and the policy table D2 from the target duplication checker 14 ′, it analyzes the condition clause of each policy specified by the identifier and does not access the policy in parallel. The group is removed from the result management table D5, and a condition analysis table D7 shown in FIG. 7B is created. Then, the created condition analysis table D7 is transmitted to the output device 40 '. The condition checker 15 analyzes the condition clause of each policy, and removes the policy group that can guarantee that the access will not be performed in parallel according to the definition of the condition clause. It has a function for obtaining an analysis result with higher accuracy than the result management table D5 obtained according to the form. High accuracy means that the obtained analysis result includes a high rate of policy sets that actually access the same resource in parallel.

(動作)
次に、本実施の形態の動作について詳細に説明する。なお、ここでは、条件検査器15の動作を中心に説明する。本動作は、図4のステップS5とS6の間に挟まれる処理であり、他の処理は実施例1の場合と同様であるため省略する。
(Operation)
Next, the operation of the present embodiment will be described in detail. Here, the operation of the condition checker 15 will be mainly described. This operation is a process sandwiched between steps S5 and S6 in FIG. 4, and the other processes are the same as in the case of the first embodiment, and are therefore omitted.

まず、条件検査器15は、ターゲット重複検査器14’より結果管理表D5とポリシ表D2を受け取る。この時の結果管理表D5は、条件節の条件を考慮していないため、条件節の定義により実際には並行してアクセスすることのないポリシの集合が含まれている。   First, the condition checker 15 receives the result management table D5 and the policy table D2 from the target duplication checker 14 '. Since the result management table D5 at this time does not consider the condition of the conditional clause, it includes a set of policies that are not actually accessed in parallel due to the definition of the conditional clause.

続いて、条件検査器15は、結果管理表D5の各行に含まれるポリシの識別子の集合を取り出して検査する。全ての行を検査し終えたら処理を終える。検査していない行がある場合、未検査の行を結果管理表D5より選択する。そして、選択した行に含まれる各識別子が指定するポリシをポリシ表D2より取り出し、それぞれのポリシの条件節を取得する。このとき、条件節は、当該ポリシが受理するイベントの型を表す名前を含む。そして、ポリシを解釈・処理する実行系があるイベントを受け付けると、当該イベントの型の名前と同様のイベントの名前を含む条件節を持つポリシを発火させる。従って、同時に発火する可能性があるポリシの集合は、条件節に同じ名前のイベントを含むという条件を満たす。   Subsequently, the condition inspector 15 extracts and inspects a set of policy identifiers included in each row of the result management table D5. When all lines have been examined, the process ends. If there is an uninspected row, an uninspected row is selected from the result management table D5. Then, the policy specified by each identifier included in the selected row is extracted from the policy table D2, and the condition clause of each policy is acquired. At this time, the conditional clause includes a name indicating the type of event accepted by the policy. When an event having an execution system that interprets and processes the policy is received, a policy having a conditional clause including the event name similar to the name of the event type is fired. Therefore, a set of policies that can be fired at the same time satisfies the condition that an event having the same name is included in the conditional clause.

従って、ポリシ表D2より取り出したポリシの中から、各条件節を調べ、同じ名前のイベントを含む条件節を持つポリシの集合を全て求め、その各集合のポリシの識別子を、条件解析表D7にそれぞれ追加する。このとき、条件節に、受理するイベントの型の名前だけでなく、イベントに含まれる属性値に対して、さらに詳細に受理条件を規定する場合もある。例えば、“SomeEvent”という名前のイベントがあり、その名前の型は属性として、“someValue”を持っているとする。このようなイベントを用いて、例えば、条件節に“on SomeEvent{ someValue > 10 }”のような記述があり、この条件節はSomeEventを受理し、かつ、SomeEventに含まれるsomeValueの値が10より大きければ発火すると解釈される。このように、さらに詳細な条件が条件節に記述されている場合、条件節に登場する属性名と比較演算子、及び、複数の条件が存在する場合は、その条件を結合する論理演算子を解析することにより、明らかに同時に発火しないポリシの組み合わせを発見し、そのような組み合わせを解析結果から除外することが可能である。例えば、二つの条件節があり、それぞれの条件節が受理するイベント名は同一であり、そのイベント名を”E1”、E1が持つ属性名を”param”とする。このとき、片方の条件節が”on E1{ param > 10 }”であり、もう一方の条件節が“on E1{ param < 10 }”とする。このようなポリシは明らかに同時に発火することはない。このように明らかに同時に発火することのない条件式を求めていくことで、より精度の高い、同時に発火する可能性のある条件節の集合を求めることが可能である。   Accordingly, each conditional clause is examined from the policy extracted from the policy table D2, all the sets of policies having the conditional clause including the event of the same name are obtained, and the policy identifier of each set is stored in the condition analysis table D7. Add each one. At this time, in addition to the name of the type of event to be accepted, the acceptance condition may be specified in more detail for the attribute value included in the event. For example, it is assumed that there is an event named “SomeEvent”, and the type of the name has “someValue” as an attribute. Using such an event, for example, there is a description such as “on SomeEvent {someValue> 10}” in the conditional clause. This conditional clause accepts SomeEvent, and the value of someValue included in SomeEvent is 10 If it is large, it is interpreted as firing. In this way, when more detailed conditions are described in the conditional clause, attribute names and comparison operators that appear in the conditional clause, and when there are multiple conditions, a logical operator that combines the conditions is added. By analyzing, it is possible to discover policy combinations that do not ignite at the same time and exclude such combinations from the analysis results. For example, there are two conditional clauses, the event names accepted by each conditional clause are the same, the event name is “E1”, and the attribute name of E1 is “param”. At this time, one conditional clause is “on E1 {param> 10}”, and the other conditional clause is “on E1 {param <10}”. Such policies clearly do not ignite at the same time. Thus, by obtaining a conditional expression that does not clearly fire at the same time, it is possible to obtain a more accurate set of conditional clauses that may fire simultaneously.

そして、条件検査器15は、結果管理表D7の全ての行を検査し終えたら処理を終え、出力装置40’に条件解析表D7を渡す。検査していない行がある場合、未検査の行を結果管理表D5より選択し、上記と同様の検査を繰り返し行う。   Then, the condition checker 15 finishes the process when all the rows of the result management table D7 are checked, and passes the condition analysis table D7 to the output device 40 '. If there is an uninspected row, an uninspected row is selected from the result management table D5, and the same inspection as described above is repeated.

このように、ポリシの条件節が同時に真になる可能性があるか否かを判定する条件検査器15を備えることにより、上述した実施例1により得られる並行して同じ資源にアクセスする可能性があるポリシの集合から、ポリシの条件節の定義により、並行して同じ資源にアクセスすることがないと判明したポリシの集合を取り除き、より精度の高い解析結果を算出することができる。従って、制御対象において不適切なポリシを検出する確率の向上を図ることができ、かかるポリシのみを削除や変更するなどの対策を取ることができ、ポリシ制御の対象となる分散システムなどのさらなる安定化を図ることができる。   In this way, by including the condition checker 15 that determines whether or not the policy conditional clauses may be true at the same time, the possibility of accessing the same resource in parallel obtained by the first embodiment described above. From a set of policies, a set of policies that are determined not to access the same resource in parallel by definition of the policy condition clause can be removed, and a more accurate analysis result can be calculated. Therefore, it is possible to improve the probability of detecting an inappropriate policy in the control target, and to take measures such as deleting or changing only such a policy. Further stability of distributed systems subject to policy control, etc. Can be achieved.

本発明であるポリシ解析システムは、ポリシ制御されているネットワークシステムなどに組み込むことで、当該ネットワークシステムなどの安定化を図ることができ、産業上利用可能である。   The policy analysis system according to the present invention is incorporated in a policy-controlled network system or the like, so that the network system or the like can be stabilized and can be used industrially.

実施例1におけるポリシ解析システムの構成を示す機能ブロック図である。It is a functional block diagram which shows the structure of the policy analysis system in Example 1. FIG. 図1に開示したポリシ解析システムにて用いられるデータの構造を示す図である。図2(a)はポリシのデータ構造、図2(b)はポリシの集合のデータ構造、図2(c)は中間結果管理表のデータ構造を示す。It is a figure which shows the structure of the data used with the policy analysis system disclosed in FIG. 2A shows the data structure of the policy, FIG. 2B shows the data structure of the policy set, and FIG. 2C shows the data structure of the intermediate result management table. 図1に開示したポリシ解析システムにて用いられるデータの構造を示す図である。図3(a)は命令検査表のデータ構造、図3(b)は結果管理表のデータ構造、図3(c)は型情報管理表のデータ構造を示す。It is a figure which shows the structure of the data used with the policy analysis system disclosed in FIG. 3A shows the data structure of the instruction check table, FIG. 3B shows the data structure of the result management table, and FIG. 3C shows the data structure of the type information management table. 図1に開示したポリシ解析システムの動作の概要を示すフローチャートである。It is a flowchart which shows the outline | summary of operation | movement of the policy analysis system disclosed in FIG. 図4に開示した命令検査処理の詳細な動作を示すフローチャートである。5 is a flowchart showing a detailed operation of instruction inspection processing disclosed in FIG. 4. 図4に開示したターゲット重複検査の詳細な動作を示すフローチャートである。5 is a flowchart showing a detailed operation of target duplication inspection disclosed in FIG. 4. 図7(a)は、実施例2におけるポリシ解析システムの構成を示す機能ブロック図である。図7(b)は、当該システムで用いられるデータである条件解析表のデータ構造を示す図である。FIG. 7A is a functional block diagram illustrating the configuration of the policy analysis system according to the second embodiment. FIG. 7B is a diagram showing a data structure of a condition analysis table that is data used in the system. 従来例におけるポリシ制御を伴う分散システムの構成の概略を示したブロック図である。It is the block diagram which showed the outline of the structure of the distributed system with policy control in a prior art example. 図9(a)は、従来のポリシ解析システムの構成を示す機能ブロック図である。図9(b)は、ポリシの対処を説明する説明図である。FIG. 9A is a functional block diagram showing the configuration of a conventional policy analysis system. FIG. 9B is an explanatory diagram for explaining the policy handling. 図10(a)〜(d)は、従来例におけるポリシ解析システムにて用いられるデータの構造を示す図である。FIGS. 10A to 10D are diagrams showing the structure of data used in the policy analysis system in the conventional example. 従来例におけるポリシ解析システムの動作を示すフローチャートである。It is a flowchart which shows operation | movement of the policy analysis system in a prior art example.

符号の説明Explanation of symbols

10 ポリシ並行アクセス解析装置
11 ポリシ管理器
12 命令検査器(命令検査手段)
13 型情報管理器
14 ターゲット重複検査器(重複検査手段)
15 条件検査器(条件検査手段)
20 記憶装置
21 ポリシ記憶部
22 型情報記憶部(資源情報記憶手段)
30 入力装置
40 出力装置(出力手段)
10 Policy parallel access analyzer 11 Policy manager 12 Instruction checker (command check means)
13-type information manager 14 Target duplicate checker (Duplicate check means)
15 Condition checker (condition check means)
20 storage device 21 policy storage unit 22 type information storage unit (resource information storage means)
30 Input device 40 Output device (output means)

Claims (11)

制御対象となる資源を指定する資源指定情報と当該資源に対する制御指令を表す制御指令情報により構成された複数のポリシのうち、同一資源に対してアクセスされうるポリシを解析して検出するポリシ解析システムであって、
前記ポリシの制御対象となる資源毎に、当該資源にて作動可能な前記ポリシによる制御指令を表す命令情報と、当該各制御指令が前記資源の状態に変化を与えるか否かという命令種類を表す命令種類情報と、が予め関連付けられて記憶された資源情報記憶手段を備えると共に、
解析対象となる前記ポリシと前記資源情報記憶手段内の情報とに基づいて、前記各ポリシが対象とする資源と当該資源に対する制御指令とを当該ポリシに含まれる制御指令情報から判別し、さらに前記制御指令に対応する命令種類を前記命令種類情報から判別する命令検査手段と、
この判別結果に基づいて、同一の資源を対象とする2以上のポリシのうち、少なくとも一つのポリシに含まれる制御指令の少なくとも一つが対象となる資源の状態に変化を与える、という条件を満たす2以上のポリシの検出する重複検査手段と、
を備えたことを特徴とするポリシ解析システム。
Among a plurality of policies that are more configured to control command information representing a control command for the resource specifying information and the resource that specifies the resources to be controlled, detecting and analyzing the policy may be accessed for the same resources A policy analysis system,
For each resource to be controlled by the policy, command information indicating a control command by the policy that can be operated by the resource, and a command type indicating whether each control command changes the state of the resource. The instruction type information includes resource information storage means stored in association with each other in advance,
Based on the policy to be analyzed and the information in the resource information storage means, the resource targeted by each policy and the control command for the resource are determined from the control command information included in the policy, and Command inspection means for determining the command type corresponding to the control command from the command type information ;
Based on this determination result, among the two or more policies that target the same resource, 2 that satisfies the condition that at least one of the control commands included in at least one policy changes the state of the target resource Duplicate inspection means for detecting the above policy,
A policy analysis system characterized by comprising:
記重複検査手段は、前記検出された2以上のポリシに関する情報を外部に出力する機能を有する、ことを特徴とする請求項1記載のポリシ解析システム。 Before SL duplication checker means, policy analysis system according to claim 1, wherein said information relating to the detected two or more of the policy was a function of outputting to the external, characterized in that. 前記ポリシは、当該ポリシが作動する条件である作動条件情報を含むと共に、
この作動条件情報に基づいて、前記重複検査手段にて検出された2以上のポリシのうち、並行に動作する可能性があるポリシを検出する条件検査手段を備えた、ことを特徴とする請求項1記載のポリシ解析システム。
The policy includes operating condition information that is a condition for operating the policy,
The condition inspection means for detecting a policy that may operate in parallel among the two or more policies detected by the duplication inspection means based on the operating condition information. 1. The policy analysis system according to 1.
前記ポリシは、当該ポリシが作動する条件である作動条件情報を含むと共に、
この作動条件情報に基づいて、前記重複検査手段にて検出された2以上のポリシのうち、作動条件が同一であるポリシを検出する条件検査手段を備えた、ことを特徴とする請求項1記載のポリシ解析システム。
The policy includes operating condition information that is a condition for operating the policy,
The condition inspection means for detecting a policy having the same operation condition among two or more policies detected by the duplication inspection means based on the operation condition information. Policy analysis system.
オペレータあるいは外部接続された他の機器に対して所定の情報を出力する出力手段を有すると共に、
前記条件検査手段は、前記検出したポリシに関する情報を前記出力手段を介して外部に出力する機能を有する、ことを特徴とする請求項3又は4記載のポリシ解析システム。
Having an output means for outputting predetermined information to an operator or other externally connected device;
5. The policy analysis system according to claim 3, wherein the condition checking unit has a function of outputting information on the detected policy to the outside via the output unit.
制御対象となる資源を指定する資源指定情報と当該資源に対する制御指令を表す制御指令情報により構成された複数のポリシのうち、同一資源に対してアクセスされうるポリシを、コンピュータにて解析して検出するポリシ解析方法であって、
予め前記資源毎に関連付けられ記憶された、当該資源にて作動可能な制御指令を表す命令情報と当該制御指令によって前記資源の状態に変化を与えるか否かの命令種類を表す命令種類情報と解析対象となる前記ポリシとに基づいて、前記各ポリシが対象とする資源と当該資源に対する制御指令とを前記制御指令情報から判別し、さらに前記制御指令に対応する命令種類を前記命令種類情報から判別する命令検査工程と、
この判別結果に基づいて、同一の資源を対象とする2以上のポリシを抽出するポリシ抽出工程と、
これら抽出されたポリシのうち、少なくとも一つのポリシに含まれる制御指令の少なくとも一つが対象となる資源の状態に変化を与える、という条件を満たす2以上のポリシの検出する重複検査工程と、
を備えたことを特徴とするポリシ解析方法。
Among a plurality of policies that are more configured to control command information representing a control command for the resource specifying information and the resource that specifies the resources to be controlled, the policy may be accessed for the same resources, analyzed by computer A policy analysis method for detecting
Preliminarily associated and stored for each resource, the command information indicating a control command operable by the resource, and the command type information indicating the command type whether or not to change the state of the resource by the control command and analysis Based on the target policy, a resource targeted by each policy and a control command for the resource are determined from the control command information, and a command type corresponding to the control command is determined from the command type information. Order inspection process to
A policy extraction step of extracting two or more policies targeting the same resource based on the determination result;
Among these extracted policies, a duplicate inspection process for detecting two or more policies satisfying the condition that at least one of the control commands included in at least one policy changes the state of the target resource,
A policy analysis method comprising:
前記ポリシに含められた当該ポリシが作動する条件である作動条件情報に基づいて、前記重複検査工程にて検出された2以上のポリシのうち、並行に動作する可能性のあるポリシを検出する条件検査工程を備えた、ことを特徴とする請求項6記載のポリシ解析方法。 A condition for detecting a policy that may operate in parallel among two or more policies detected in the duplication inspection step based on operating condition information that is a condition for operating the policy included in the policy. The policy analysis method according to claim 6, further comprising an inspection step. 前記ポリシに含められた当該ポリシが作動する条件である作動条件情報に基づいて、前記重複検査工程にて検出された2以上のポリシのうち、作動条件が同一であるポリシを検出する条件検査工程を備えた、ことを特徴とする請求項6記載のポリシ解析方法。   A condition inspection step for detecting a policy having the same operation condition among two or more policies detected in the duplication inspection step based on operation condition information which is a condition for operating the policy included in the policy. The policy analysis method according to claim 6, further comprising: 制御対象となる資源を指定する資源指定情報と当該資源に対する制御指令を表す制御指令情報により構成された複数のポリシのうち、同一資源に対してアクセスされうるポリシを解析して検出するコンピュータに、
前記ポリシの制御対象となる資源毎に、当該資源にて作動可能な前記ポリシによる制御指令を表す命令情報と、当該各制御指令が前記資源の状態に変化を与えるか否かという命令種類を表す命令種類情報と、が予め関連付けて記憶する資源情報記憶手段、
解析対象となる前記ポリシと前記資源情報記憶手段内の情報とに基づいて、前記各ポリシが対象とする資源と当該資源に対する制御指令とを当該ポリシに含まれる制御指令情報から判別し、さらに前記制御指令に対応する命令種類を前記命令種類情報から判別する命令検査手段、
この判別結果に基づいて、同一の資源を対象とする2以上のポリシのうち、少なくとも一つのポリシに含まれる制御指令の少なくとも一つが対象となる資源の状態に変化を与える、という条件を満たす2以上のポリシの検出する重複検査手段、
実現するためのポリシ解析用プログラム。
Among a plurality of policies that are more configured to control command information representing a control command for the resource specifying information and the resource that specifies the resources to be controlled, detecting and analyzing the policy may be accessed for the same resources On the computer,
For each resource to be controlled by the policy, command information indicating a control command by the policy that can be operated by the resource, and a command type indicating whether each control command changes the state of the resource. Instruction type information and resource information storage means for pre-associating and storing,
Based on the policy to be analyzed and the information in the resource information storage means, the resource targeted by each policy and the control command for the resource are determined from the control command information included in the policy, and Command checking means for determining the command type corresponding to the control command from the command type information;
Based on this determination result, among the two or more policies that target the same resource, 2 that satisfies the condition that at least one of the control commands included in at least one policy changes the state of the target resource Duplicate inspection means for detecting the above policy,
Policy analysis program for implementing the.
前記ポリシに含められた当該ポリシが作動する条件である作動条件情報に基づいて、前記重複検査手段にて検出された2以上のポリシのうち、並行に動作する可能性があるポリシを検出する条件検査手段、
を前記コンピュータに実現するための請求項9記載のポリシ解析用プログラム。
A condition for detecting a policy that may operate in parallel among two or more policies detected by the duplication checking means based on operating condition information that is a condition for operating the policy included in the policy Inspection means,
The policy analysis program according to claim 9 for realizing the above on the computer.
前記ポリシに含められた当該ポリシが作動する条件である作動条件情報に基づいて、前記重複検査手段にて検出された2以上のポリシのうち、作動条件が同一であるポリシを検出する条件検査手段、
を前記コンピュータに実現するための請求項9記載のポリシ解析用プログラム。
Condition checking means for detecting a policy having the same operating condition among two or more policies detected by the duplication checking means based on operating condition information which is a condition for operating the policy included in the policy. ,
The policy analysis program according to claim 9 for realizing the above on the computer.
JP2004057968A 2004-03-02 2004-03-02 Policy analysis system and method, and policy analysis program Expired - Fee Related JP4111151B2 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2004057968A JP4111151B2 (en) 2004-03-02 2004-03-02 Policy analysis system and method, and policy analysis program

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2004057968A JP4111151B2 (en) 2004-03-02 2004-03-02 Policy analysis system and method, and policy analysis program

Publications (2)

Publication Number Publication Date
JP2005250688A JP2005250688A (en) 2005-09-15
JP4111151B2 true JP4111151B2 (en) 2008-07-02

Family

ID=35031125

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2004057968A Expired - Fee Related JP4111151B2 (en) 2004-03-02 2004-03-02 Policy analysis system and method, and policy analysis program

Country Status (1)

Country Link
JP (1) JP4111151B2 (en)

Families Citing this family (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP4605072B2 (en) * 2006-01-17 2011-01-05 株式会社日立製作所 Control device and information system control method
WO2008152687A1 (en) * 2007-06-11 2008-12-18 Fujitsu Limited Workflow definition changing program, workflow definition changing method, and workflow definition changing device
JP5229223B2 (en) * 2007-06-11 2013-07-03 富士通株式会社 Workflow definition change program and workflow definition change method
CN111569424B (en) * 2020-05-14 2023-04-28 北京代码乾坤科技有限公司 Physical settlement method and device in game scene

Also Published As

Publication number Publication date
JP2005250688A (en) 2005-09-15

Similar Documents

Publication Publication Date Title
US8150717B2 (en) Automated risk assessments using a contextual data model that correlates physical and logical assets
JP6672457B2 (en) Software risk control method and system for software development
US11455230B2 (en) Event specific log file generation
JP4222184B2 (en) Security management support system, security management support method and program
US7743414B2 (en) System and method for executing a permissions recorder analyzer
US20040181677A1 (en) Method for detecting malicious scripts using static analysis
US20080148398A1 (en) System and Method for Definition and Automated Analysis of Computer Security Threat Models
US20200233736A1 (en) Enabling symptom verification
KR20040080845A (en) Method to detect malicious scripts using code insertion technique
US20100050257A1 (en) Confirmation method of api by the information at call-stack
Mao et al. Security importance assessment for system objects and malware detection
JPWO2006087780A1 (en) Vulnerability audit program, vulnerability audit device, vulnerability audit method
CN107358096B (en) File virus searching and killing method and system
TW202319943A (en) Compliance risk management for data in computing systems
CN112860523A (en) Fault prediction method and device for batch job processing and server
US20230004361A1 (en) Code inspection interface providing method and apparatus for implementing the method
JP6847330B2 (en) Attack tree generator, attack tree generator and attack tree generator
US10089463B1 (en) Managing security of source code
JP6282217B2 (en) Anti-malware system and anti-malware method
Katilu et al. Challenges of data provenance for cloud forensic investigations
JP4111151B2 (en) Policy analysis system and method, and policy analysis program
KR20230174954A (en) Method for managing externally imported files, apparatus for the same, computer program for the same, and recording medium storing computer program thereof
JP2007109016A (en) Access policy creation system, method and program
JP4458190B2 (en) Information display system and information display method
KR101564999B1 (en) Script diagnostics devise and script diagnostics method

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20060313

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20070903

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20070911

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20071109

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20080318

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20080331

R150 Certificate of patent or registration of utility model

Free format text: JAPANESE INTERMEDIATE CODE: R150

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20110418

Year of fee payment: 3

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20120418

Year of fee payment: 4

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20120418

Year of fee payment: 4

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20130418

Year of fee payment: 5

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20130418

Year of fee payment: 5

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20140418

Year of fee payment: 6

LAPS Cancellation because of no payment of annual fees