TOP特許意匠商標
特許ウォッチ DM通知 Twitter
公開番号2022094322
公報種別公開特許公報(A)
公開日2022-06-24
出願番号2021195128
出願日2021-12-01
発明の名称セキュリティセンシティブなコンピューティング・システムに対するAPIアクセスのための方法、システム及びコンピュータプログラム
出願人インターナショナル・ビジネス・マシーンズ・コーポレーション,INTERNATIONAL BUSINESS MACHINES CORPORATION
代理人個人,特許業務法人ピー・エス・ディ
主分類G06F 21/51 20130101AFI20220617BHJP(計算;計数)
要約【課題】セキュリティセンシティブなコンピューティング・システムにおいてAPIアクセスアクションを制御する方法を提供する。
【解決手段】方法は、オペレータアカウント・データベースから利用可能なオペレータアカウントを選択することと、APIアクセスアクションの識別子とAPIアクセスアクションを実行するためのユニーク・アクションタグを生成することと、選択されたオペレータアカウントとのマッピングを有する動的アクセスリストをメンテナンスすることと、選択されたオペレータアカウントに対して、APIアクセスアクションの権限を認可することと、オペレータがAPIアクセスアクションを実行した後、ユニーク・アクションタグに基づく更なるAPIアクセスアクションを取り消すこと、とを含む。
【選択図】図1
特許請求の範囲【請求項1】
アプリケーション・プログラミング・インターフェース(API)アクセスアクションを制御するための方法であって、
オペレータアカウント・データベースから利用可能なオペレータアカウントを選択することと、
前記APIアクセスアクションの識別子と、前記APIアクセスアクションを実行するためのユニークAPIアクセスキーとを包含する、ユニーク・アクションタグを生成することと、
前記APIアクセスアクションの識別子及び前記ユニークAPIアクセスキーと、選択されたオペレータアカウントとのマッピングを有する、動的アクセスリストをメンテナンスすることと、
前記選択されたオペレータアカウントに対して、前記動的アクセスリスト及び前記ユニーク・アクションタグを介して、マッピングされたAPIアクセスアクションの実行のみに限定されたセキュリティセンシティブなコンピューティング・システムに対するAPIアクセスアクションの権限を認可することと、
前記オペレータが前記APIアクセスアクションを実行した後、前記ユニーク・アクションタグに基づく更なるAPIアクセスアクションを取り消すことと、
を含む方法。
続きを表示(約 930 文字)【請求項2】
前記選択されたオペレータアカウントが、オペレータアカウントのグループである、請求項1に記載の方法。
【請求項3】
前記APIアクセスアクションが、APIアクセスアクションのグループである、請求項1又は請求項2のいずれかに記載の方法。
【請求項4】
前記APIアクセスアクションのグループが、異なるAPIを参照する、請求項3に記載の方法。
【請求項5】
前記セキュリティセンシティブなコンピューティング・システムが、セキュア・エンクレーブの形態のセキュア・アプライアンスとして実装される、請求項1から請求項4までのいずれか1項に記載の方法。
【請求項6】
APIアクセスアクションの要件を判定するために、システムログファイルを監視及び解析すること
をさらに含む、請求項1から請求項5までのいずれか1項に記載の方法。
【請求項7】
前記APIアクセスアクションが、前記セキュリティセンシティブなコンピューティング・システムの構成の変更、及び、前記セキュリティセンシティブなコンピューティング・システムのコンポーネントの有効化を含む群の中から少なくとも選択される、請求項6に記載の方法。
【請求項8】
前記更なるAPIアクセスアクションを取り消すことが、
前記更なるAPIアクセスアクションを取り消す前に、前記APIアクセスアクションの完了を監視すること
をさらに含む、請求項1から請求項7までのいずれか1項に記載の方法。
【請求項9】
以前のアクセスアクションが実用的な解決に到達しなかった場合、前記ユニーク・アクションタグによって制御されるアクセスをAPIの追加セットに拡張すること
をさらに含む、請求項1から請求項8までのいずれか1項に記載の方法。
【請求項10】
前記選択されたオペレータアカウントに、前記APIアクセスアクションに関する詳細を含む通知を送ること
をさらに含む、請求項1から請求項9までのいずれか1項に記載の方法。
(【請求項11】以降は省略されています)

発明の詳細な説明【技術分野】
【0001】
本発明は、一般的には、コンピューティング・システムに対するセキュアなアクセスアクションの分野に関し、より具体的には、セキュリティセンシティブなコンピューティング・システムにおいてアプリケーション・プログラミング・インターフェース(API)アクセスアクションを制御するための方法に関する。
続きを表示(約 3,000 文字)【発明の概要】
【発明が解決しようとする課題】
【0002】
セキュリティセンシティブなコンピューティング・システムにおいてアプリケーション・プログラミング・インターフェース(API)アクセスアクションを制御するための方法を提供する。
【課題を解決するための手段】
【0003】
本発明の一態様によれば、セキュリティセンシティブなコンピューティング・システムにおいてアプリケーション・プログラミング・インターフェース(API)アクセスアクションを制御する方法が提供される。本方法のオペレーションは、実行すべきアクションについて、オペレータアカウント・データベースから利用可能なオペレータアカウントを選択することと、APIアクセスアクションの識別子と、APIアクセスアクションを実行するためのユニークAPIアクセスキーとを包含する、ユニーク・アクションタグを生成することと、APIアクセスアクションの識別子及びユニークAPIアクセスキーと、選択されたオペレータアカウントとのマッピングを有する、動的アクセスリストをメンテナンスすることとを含むことができる。さらに、本方法は、選択されたオペレータアカウントに対して、動的アクセスリスト及びユニーク・アクションタグを介して、マッピングされたAPIアクセスアクションの実行のみに限定されたセキュリティセンシティブなコンピューティング・システムに対するAPIアクセスアクションの権限を認可することと、オペレータがAPIアクセスアクションを実行した後、ユニーク・アクションタグに基づく更なるAPIアクセスアクションを取り消すこととを含むことができる。
【0004】
本発明の別の態様によれば、セキュリティセンシティブなコンピューティング・システムにおいてアプリケーション・プログラミング・インターフェース(API)アクセスアクションを制御するためのアクセス制御システムが提供される。アクセス制御システムは、プロセッサに通信可能に結合されたメモリを含むことができ、メモリは、実行すべきAPIアクセスアクションについて、プロセッサが、オペレータアカウント・データベースから利用可能なオペレータアカウントを選択し、APIアクセスアクションの識別子と、APIアクセスアクションを実行するためのユニークAPIアクセスキーとを包含する、ユニーク・アクションタグを生成することを可能にするプログラムコード部分を格納している。格納されたプログラムコードは、プロセッサが、更に、APIアクセスアクションの識別子及びユニークAPIアクセスキーと、選択されたオペレータアカウントとのマッピングを有する、動的アクセスリストをメンテナンスし、選択されたオペレータアカウントに、動的アクセスリスト及びユニーク・アクションタグを介して、マッピングされたAPIアクセスアクションの実行のみに限定されたセキュリティセンシティブなコンピューティング・システムに対するAPIアクセスアクションの権限を認可し、オペレータがAPIアクセスアクションを実行した後、ユニーク・アクションタグに基づく更なるAPIアクセスアクションを取り消すことを可能にすることができる。
【0005】
さらに、実施形態は、コンピュータ又はいずれかの命令実行システムによって又はそれとの関連で使用されるコンピュータ使用可能又はコンピュータ可読媒体からアクセス可能な、関連したコンピュータプログラム製品の形態を取ることができる。この説明の目的で、コンピュータ使用可能又はコンピュータ可読媒体は、命令実行システム、装置、又はデバイスによって又はそれらとの関連で使用されるプログラムを格納し、伝達し、伝搬し、もしくは輸送し、又はそれらの組合せを行うための手段を収納するあらゆる装置とすることができる。
【図面の簡単な説明】
【0006】
セキュリティセンシティブなコンピューティング・システムにおいてAPIアクセスアクションを制御するための本発明の方法の実施形態のブロック図を示す。
本発明の実施形態のコンポーネント及び関連する情報フローのブロック図を示す。
本発明の実施形態の情報フローに関与するコンポーネントの第1の部分のブロック図を示す。
本発明の実施形態の情報フローに関与するコンポーネントの第2の部分のブロック図を示す。
セキュリティセンシティブなコンピューティング・システムにおいてAPIアクセスアクションを制御するためのアクセス制御システムの実施形態を示す。
本発明の一態様によるアクセス制御システムを備えるコンピューティング・システムを示す。
【発明を実施するための形態】
【0007】
この説明の文脈では、以下の慣例、用語、もしくは表現又はそれらの組合せを使用することができる。
【0008】
「アプリケーション・プログラミング・インターフェース・アクセスアクション」(略して「APIアクセスアクション」)という用語は、あらゆる種類のアプリケーション・プログラミング・インターフェースに対する呼び出しを意味することができる。例として、オペレーティングシステム、データベース、設定ファイル、ミドルウェアコンポーネント、もしくはアプリケーションプログラム又はそれらの組合せのAPIが挙げられる。APIの基礎となるコンポーネントへのアクセスは、他のプログラムによって実行されることもあり、又はAPIに対するユーザインターフェースによって直接実行されることもある。アクセスアクションは、APIの根底にあるコンポーネントに対する、読出しアクセス、書込みアクセス、変更アクセス、もしくは削除アクセス又はそれらの組合せを含むがこれらに限定されない、あらゆる種類の影響を含むことができる。基本的に、あらゆるアクセスアクションは、APIの根底にあるコンポーネントに対するアクセスとして理解すべきものであり、そのアクセスはコンポーネントの設定を変更することができる。
【0009】
「セキュリティセンシティブなコンピューティング・システム」という用語は、アクセスが厳密に制御された高度にセキュアなコンピューティング・システムを意味することができる。多くの場合、こうしたシステムは、IBM Zシステム・コンプレックスのような、完全ないわゆるメインフレーム・コンピューティング・システムの一部の形態であるセキュア・エンクレーブとして実装される。
【0010】
「オペレータアカウント」という用語は、セキュリティセンシティブなコンピューティング・システムのオペレータ専用のユーザID(識別子)を意味することができる。オペレータ・ユーザのアクセス権限は、そのセキュリティセンシティブなコンピューティング・システムのアプリケーション・ユーザのアクセス権をはるかに超える場合がある。これまで(すなわち、従来のシステムでは)、オペレータのアクセス権は、セキュリティセンシティブなコンピューティング・システムに対するセキュリティ上の脅威となる可能性があった。提案する概念は、このギャップを埋める手段となり得る。
(【0011】以降は省略されています)

特許ウォッチbot のツイート
この特許をJ-PlatPatで参照する

関連特許

個人
喋るハイテク家電
15日前
株式会社理研
演算装置
10日前
個人
回覧支援システム
22日前
個人
電子旅程システム
22日前
個人
ライフ情報提供装置
22日前
個人
家系図作成システム
23日前
個人
遺言書作成システム
23日前
個人
曲目音声入力システム
15日前
株式会社鶴
管理サーバ
22日前
凸版印刷株式会社
メタルカード
3日前
日本精機株式会社
車載表示装置
今日
個人
結婚活動支援システム
8日前
個人
ゴーグル表示システム
22日前
東レ株式会社
シミュレーション方法
18日前
個人
情報提供システム
15日前
HENNGE株式会社
サーバ
18日前
シャープ株式会社
家電システム
15日前
個人
統計モデルによる勤務時間の推定
11日前
凸版印刷株式会社
非接触通信ICシート
今日
株式会社ノーリツ
給湯装置
1日前
ヤマキ有限会社
値引き管理システム
17日前
東洋計器株式会社
ガスの集中監視方法
16日前
三菱電機株式会社
映像表示装置
23日前
テルモ株式会社
表示装置
18日前
オグラ金属株式会社
食品カウンタ装置
2日前
ビィデザイン株式会社
仮想空間システム
15日前
株式会社リコー
情報処理装置および方法
22日前
中国電力株式会社
業務時間管理システム
4日前
株式会社野村総合研究所
商品販売システム
24日前
ソプラ株式会社
メタデータ抽出プログラム
4日前
タブソリューション株式会社
情報処理装置
23日前
日本放送協会
物体検出装置及びプログラム
22日前
株式会社野村総合研究所
商品販売システム
24日前
トヨタ自動車株式会社
情報処理装置
11日前
沖電気工業株式会社
制御装置
10日前
NISSHA株式会社
静電容量方式の圧力センサ
8日前
続きを見る