RU2207619C2 - Resource access differentiation system - Google Patents

Resource access differentiation system Download PDF

Info

Publication number
RU2207619C2
RU2207619C2 RU2001119323A RU2001119323A RU2207619C2 RU 2207619 C2 RU2207619 C2 RU 2207619C2 RU 2001119323 A RU2001119323 A RU 2001119323A RU 2001119323 A RU2001119323 A RU 2001119323A RU 2207619 C2 RU2207619 C2 RU 2207619C2
Authority
RU
Russia
Prior art keywords
access
input
block
resources
user
Prior art date
Application number
RU2001119323A
Other languages
Russian (ru)
Other versions
RU2001119323A (en
Inventor
А.Ю. Щеглов
Original Assignee
Щеглов Андрей Юрьевич
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Щеглов Андрей Юрьевич filed Critical Щеглов Андрей Юрьевич
Priority to RU2001119323A priority Critical patent/RU2207619C2/en
Application granted granted Critical
Publication of RU2001119323A publication Critical patent/RU2001119323A/en
Publication of RU2207619C2 publication Critical patent/RU2207619C2/en

Links

Images

Abstract

FIELD: computer engineering; protection of workstation information resources and communications network servers. SUBSTANCE: system whose functions are extended by enabling access to resources not only for resource-requesting users but also for resource-requesting processes (programs) has user authorization unit, users access rights storage unit, user resource access enabling unit, process access rights storage unit, process resource access enabling unit, unit for storage of privileged process rights of access, privileged process resource access enabling unit, and resource access enabling unit. EFFECT: enhanced protection degree of data resources of workstations and servers; enlarged functional capabilities of system. 1 cl, 2 dwg

Description

Изобретение относится к вычислительной технике, а именно к информационным вычислительным системам и сетям, и может быть использовано для защиты информационных ресурсов рабочих станций и серверов. The invention relates to computer technology, namely to information computer systems and networks, and can be used to protect information resources of workstations and servers.

Известна система защиты информационных ресурсов вычислительной системы и сети Secret Net (см. "Система разграничения доступа Secret Net. Руководство пользователя, 1996"). Она представляет собою программный комплекс, устанавливаемый на автономный компьютер либо на компьютеры, объединенные в вычислительную сеть. Система решает задачу разграничения доступа к ресурсам, в частности к файловым объектам. There is a known system for protecting information resources of a computing system and the Secret Net network (see. "Secret Net Access Control System. User Guide, 1996"). It is a software package that can be installed on a stand-alone computer or on computers connected to a computer network. The system solves the problem of restricting access to resources, in particular to file objects.

Наиболее близкой по технической сущности к заявляемой (прототипом) является система разграничения доступа к ресурсам, встроенная в операционную систему Windows NT Server 4.0 (см. кн. Валда Хиллей "Секреты Windows NT Server 4.0". -К. "Диалектика", 1997, с. 14-15). Closest to the technical nature of the claimed (prototype) is a resource access control system built into the Windows NT Server 4.0 operating system (see Prince Valda Hilly, "Secrets of Windows NT Server 4.0." -K. "Dialectics", 1997, p. . 14-15).

Система представлена на фиг.1. Система разграничения доступа к ресурсам включает блок авторизации пользователя 1, блок хранения прав доступа пользователей 2, блок разрешения доступа пользователя к ресурсам 3, причем вход блока авторизации пользователя 1 соединен со входом авторизации пользователя 4, выход - с первым входом блока хранения прав доступа пользователей 2, со вторым входом блока разрешения доступа пользователя к ресурсу, первый вход которого - с выходом блока хранения прав доступа пользователей 2, второй вход которого - со входом задания прав разграничения доступа пользователей 5, третий вход блока разрешения доступа пользователя к ресурсам 3 - со входом запроса доступа к ресурсу 6, выход блока разрешения доступа пользователя к ресурсам 3 - с выходом разрешения доступа к ресурсу 7. The system is presented in figure 1. The system for restricting access to resources includes a user authorization unit 1, a user access storage unit 2, a user access permission block 3, the input of the user authorization unit 1 being connected to the user authorization input 4, the output to the first input of the user access storage unit 2 , with the second input of the access permission block for the user to the resource, the first input of which is with the output of the user access rights storage unit 2, the second input of which is with the input of setting access rights upa members 5, the third user input unit allowing access to resources 3 - to the input of an access request to a resource 6, the output user access permissions to resources unit 3 - in a yield of access permission to the resource 7.

Разграничение доступа к ресурсам осуществляется следующим образом. Администратор со входа 4, пройдя авторизацию в блоке 1 посредством ввода своего идентификатора и пароля (с этого же входа администратором заводятся пользователи и назначаются их пароли, хранящиеся в блоке 1), со входа 5 задает в блоке 2 таблицу прав доступа к ресурсам (например, для разграничения доступа к файловым объектам - именно эту задачу решает прототип, задаются для каждого пользователя логические диски, каталоги и файлы, к которым пользователю разрешается доступ и вид доступа - полный доступ, только чтение, только запись, только выполнение и т.д.). При каждом запросе доступа пользователя к ресурсу со входа 6 (со входа 6 поступает идентификатор запрашиваемого ресурса и запрашиваемое действие с ресурсом), осуществляемом после его авторизации блоком 1 со входа 4, блоком 3 для данного пользователя (идентификатор пользователя в блок 3 поступает с выхода блока 1, права доступа пользователя - с выхода блока 2) принимается решение - предоставить или нет запрошенный доступ, разрешение запрашиваемого пользователем доступа к ресурсу выдается блоком 3 на выход 7. Differentiation of access to resources is as follows. The administrator from input 4, after authorization in block 1, by entering his identifier and password (from the same input, the administrator starts up the users and assigns their passwords stored in block 1), from input 5 sets the table of access rights to resources in block 2 (for example, to differentiate access to file objects - this is the prototype that solves this problem; logical disks, directories and files are set for each user, to which the user is allowed access and the type of access - full access, read only, write only, only complete etc.). Each time a user accesses a resource from input 6 (input 6 receives the identifier of the requested resource and the requested action with the resource), carried out after authorization by block 1 from input 4, block 3 for this user (the user ID in block 3 comes from the output of the block 1, user access rights - from the output of block 2) a decision is made whether or not to grant the requested access, permission of the access requested by the user to the resource is issued by block 3 to exit 7.

Недостатком системы является следующее:
1. Реализуется возможность разграничения прав доступа к ресурсам только для пользователя (по его идентификатору) вне зависимости от того, с каким приложением он работает - какой процесс (программа) запрашивает доступ. Т.е. , если пользователю разрешен доступ к объекту, то данный доступ будет ему предоставлен вне зависимости от того, каким процессом вызвано обращение winword.exe, far.exe и т.д. На практике возникает необходимость разграничивать доступ пользователей к ресурсу не только с учетом идентификатора пользователя, но и с учетом программы, запрашивающей доступ.The disadvantage of the system is the following:
1. The possibility of differentiating access rights to resources only for the user (by his identifier) is implemented regardless of which application he is working with - which process (program) is requesting access. Those. if the user is allowed access to the object, then this access will be granted to him regardless of what process caused the call winword.exe, far.exe, etc. In practice, there is a need to differentiate user access to a resource not only taking into account the user ID, but also taking into account the program requesting access.

2. Для ОС семейства Microsoft важно то, что любая программа, запущенная в компьютере, получает доступ, разрешенный текущему (зарегистрированному в системе) пользователю. Поэтому, если на ПЭВМ устанавливается некоторый сетевой сервис, например DHCP сервис (удаленное администрирование ПЭВМ), то при запуске на рабочей станции агента (процесса) данного сервиса он получает доступ ко всем ресурсам, к которым имеет доступ текущий пользователь, что делает возможным удаленный просмотр всех ресурсов пользователя из сети - при работе менеджера с агентом). 2. For the Microsoft family of operating systems, it is important that any program running on a computer gets access allowed to the current (registered in the system) user. Therefore, if some network service is installed on the PC, for example, the DHCP service (remote administration of the PC), then when the agent (process) of this service is launched on the workstation, it gets access to all the resources that the current user has access to, which makes remote viewing possible all user resources from the network - when the manager is working with the agent).

Целью изобретения является повышение уровня защищенности информационных ресурсов рабочих станций и серверов за счет расширения функций системы разграничения доступа к ресурсам, осуществляемого не только для пользователей, запрашивающих ресурс (по их идентификаторам), но и для процессов (программ), запрашивающих ресурс. The aim of the invention is to increase the level of security of information resources of workstations and servers by expanding the functions of the system for restricting access to resources, carried out not only for users requesting a resource (by their identifiers), but also for processes (programs) requesting a resource.

Достигается это тем, что в систему разграничения доступа к ресурсам, содержащую блок авторизации пользователя, блок хранения прав доступа пользователей, блок разрешения доступа пользователя к ресурсам, причем вход блока авторизации пользователя соединен со входом авторизации пользователя, выход - с первым входом блока хранения прав доступа пользователей, со вторым входом блока разрешения доступа пользователя к ресурсам, первый вход которого - с выходом блока хранения прав доступа пользователей, второй вход которого - со входом задания прав разграничения доступа пользователей, третий вход блока разрешения доступа пользователя к ресурсам - со входом запроса доступа к ресурсу, дополнительно введены: блок хранения прав доступа процессов, блок разрешения доступа процесса к ресурсам, блок хранения прав доступа привилегированных процессов, блок разрешения доступа привилегированного процесса к ресурсам, блок разрешения доступа к ресурсам, причем первый вход блока хранения прав доступа процессов соединен с первым входом блока хранения прав доступа привилегированных процессов, с выходом блока авторизации пользователя, второй вход - со входом задания прав разграничения доступа процессов, выход - с первым входом блока разрешения доступа процесса к ресурсам, второй вход которого - со входом идентификации процесса, запросившего доступ к ресурсу, со вторым входом блока разрешения доступа привилегированного процесса к ресурсам, первый вход которого - с выходом блока хранения прав доступа привилегированных процессов, второй вход которого - со входом задания прав разграничения доступа привилегированных процессов, первый вход блока разрешения доступа к ресурсам - с выходом блока разрешения доступа пользователя к ресурсу, второй вход - с выходом блока разрешения доступа привилегированного процесса к ресурсам, третий вход - с выходом блока разрешения доступа процесса к ресурсам, выход - с выходом разрешения доступа к ресурсу. This is achieved in that a resource access control system containing a user authorization block, a user access storage unit, a user access permission block, the input of the user authorization unit is connected to the user authorization input, the output is to the first input of the access right storage unit users, with the second input of the access permission block of the user to resources, the first input of which is with the output of the user access rights storage unit, the second input of which is with the job input equal access control for users, the third input of the access permission block for the user to the resources - with the request for access to the resource input, the following are additionally introduced: the block for storing process access rights, the block for process access permission for resources, the block for storing privileges for privileged processes, the block for allowing privileged process access resources, the block access permissions to resources, and the first input of the storage block of the access rights of processes is connected to the first input of the storage block of the access rights of privileged processes s, with the output of the user authorization block, the second input - with the input of the task of restricting access rights to the processes, the output - with the first input of the process permission block for accessing resources, the second input of which is with the identification input of the process that requested access to the resource, with the second input of the permission block access of the privileged process to resources, the first input of which is with the output of the storage block for the privileges of privileged processes, the second input of which is with the input of the privileges of privileged processes, the first input of the access permission block for the resource - with the output of the user access permission block for the resource, the second input - with the output of the privileged process access permission block for resources, the third input - with the output of the process access permission block for resources, the output - with the output of access permission to the resource .

Схема системы разграничения доступа к ресурсам приведена на фиг.2, она содержит: блок авторизации пользователя 1, блок хранения прав доступа пользователей 2, блок разрешения доступа пользователя к ресурсам 3, блок хранения прав доступа процессов 4, блок разрешения доступа процесса к ресурсам 5, блок хранения прав доступа привилегированных процессов 6, блок разрешения доступа привилегированного процесса к ресурсам 7, блок разрешения доступа к ресурсам 8, причем вход блока авторизации пользователя 1 соединен со входом авторизации пользователя 9; выход - с первым входом блока хранения прав доступа пользователей 2, со вторым входом блока разрешения доступа пользователя к ресурсам 3, первый вход которого - с выходом блока хранения прав доступа пользователей 2, второй вход которого - со входом задания прав разграничения доступа пользователей 10, третий вход блока разрешения доступа пользователя к ресурсам 3 - со входом запроса доступа к ресурсу 11, первый вход блока хранения прав доступа процессов 4 соединен с первым входом блока хранения прав доступа привилегированных процессов 6, с выходом блока авторизации пользователя 1, второй вход - со входом задания прав разграничения доступа процессов 12, выход - с первым входом блока разрешения доступа процесса к ресурсам 5; второй вход которого - со входом идентификации процесса, запросившего доступ к ресурсу 14, со вторым входом блока разрешения доступа привилегированного процесса к ресурсам 7. первый вход которого - с выходом блока хранения прав доступа привилегированных процессов 6, второй вход которого - со входом задания прав разграничения доступа привилегированных процессов 13, первый вход блока разрешения доступа к ресурсам 8 - с выходом блока разрешения доступа пользователя к ресурсам 3, второй вход - с выходом блока разрешения доступа привилегированного процесса к ресурсам 7, третий вход - с выходом блока разрешения доступа процесса к ресурсам 5, выход - с выходом разрешения доступа к ресурсу 15. A diagram of a system for restricting access to resources is shown in FIG. 2, it contains: a user authorization unit 1, a user access storage unit 2, a user access permission block 3, a process access storage unit 4, a process access permission block 5, a block for storing privileges for privileged processes 6, a block for allowing privileged process access to resources 7, a block for allowing access to resources 8, the input of user authorization block 1 being connected to the user authorization input 9; output - with the first input of the user access rights storage unit 2, with the second input of the user access permission block 3, the first input of which is with the output of the user access storage unit 2, the second input of which is with the input of the user access control permission setting 10, the third the input of the permission block for user access to resources 3 - with the input of the request for access to the resource 11, the first input of the block for storing access rights of processes 4 is connected to the first input of the block for storing access rights for privileged processes 6, with the output m of user authorization block 1, the second input - with the input of the task of restricting access rights of processes 12, the output - with the first input of the block of process access permission to resources 5; the second input of which is with the identification input of the process that requested access to resource 14, with the second input of the privileged process access permission block to resources 7. the first input of which is with the output of the privileged process access storage unit 6, the second input of which is with the input of the task of differentiation rights access privileged processes 13, the first input of the access permission block to resources 8 - with the output of the user access permission block to resources 3, the second input - with the output of the privileged access permission block process resources 7, the third input - to the output unit of the access permissions to resources is 5, the output - with output an access permission to the resource 15.

Работает система разграничения доступа к ресурсам следующим образом. Кроме анализа прав доступа пользователя к ресурсам, как и в прототипе, осуществляемого блоками 1, 2, 3, задаются и анализируются права доступа процессов к ресурсам. Таблица прав доступа процессов к ресурсам (идентификатор процесса - его имя и полный путь, откуда процесс запущен, а также параметры доступа к ресурсу: полный доступ, чтение, запись, выполнение и т.д.) формируется администратором со входа 12 (после авторизации администратора) и хранится в блоке 4. Со входа 14 при запросе доступа к ресурсам в блок 5 из ОС поступают параметры процесса, запросившего ресурс (имя и полный путь процесса), идентификатор ресурса и действия с ресурсом, блок 5 сравнивает запрос с правами доступа процесса (из блока 5) и вырабатывает (либо нет) сигнал разрешения доступа процесса к ресурсу, поступающий в блок 8. Выделяет особый класс процессов, так называемые привилегированные процессы, запрос которых обрабатывается блоками 6 и 7. Их отличие от обычных состоит в том, что доступ данных процессов к ресурсам разграничивается вне разграничений прав доступа к ресурсам пользователей. К таким процессам могут быть отнесены системные и иные процессы. Например, доступ пользователя к системному диску (например, диску С: ) может быть запрещен, некоторым же процессам данный доступ необходимо открыть, например системным процессам, записывающим данные в реестр, и т.д. Необходимо открывать доступ к системному диску и прикладным процессам, например, обеспечивающим удаленное администрирование ПЭВМ. Т.о., под привилегированным понимается процесс, на который не распространяются разграничения доступа текущего пользователя. Обрабатываются данные процессы таким же образом, как и обычные, блоками 6 и 7. В блок 6 администратор после авторизации блоком 1 заносит таблицу разграничения прав доступа, права доступа при запросе анализируются блоком 7. В блок 8 поступают три разрешающих сигнала - разрешение доступа пользователя к ресурсу из блока 3, разрешение доступа процесса к ресурсу из блока 5 и разрешение доступа привилегированного процесса к ресурсу из блока 7. Блок 8 вырабатывает сигнал разрешения доступа к ресурсу на выход 15 при получении разрешения либо с выхода блока 7, либо одновременно разрешений с выходов блоков 3 и 5, т.е. пропускает санкционированные запросы привилегированных процессов, санкционированные запросы остальных процессов в рамках разрешений доступа текущего (зарегистрированного в блоке 1) пользователя. The system for restricting access to resources works as follows. In addition to the analysis of user access rights to resources, as in the prototype implemented by blocks 1, 2, 3, the process access rights to resources are set and analyzed. The table of access rights of processes to resources (the identifier of a process is its name and the full path from where the process started, as well as access parameters to the resource: full access, read, write, execute, etc.) is created by the administrator from input 12 (after administrator authorization ) and is stored in block 4. From input 14, when requesting access to resources, block 5 from the OS receives the parameters of the process that requested the resource (name and full path of the process), the resource identifier and actions with the resource, block 5 compares the request with the access rights of the process ( from block 5) and generate There is (or not) a signal of the process’s access to the resource that goes to block 8. It distinguishes a special class of processes, the so-called privileged processes, the request of which is processed by blocks 6 and 7. Their difference from the usual ones is that the access of these processes to resources is differentiated beyond the delimitation of access rights to user resources. Such processes may include systemic and other processes. For example, user access to a system disk (for example, C: drive) may be denied, but some processes need to open this access, for example, system processes that write data to the registry, etc. It is necessary to open access to the system disk and application processes, for example, providing remote administration of a PC. Thus, privileged is understood as a process that is not subject to access restriction of the current user. These processes are processed in the same way as normal ones, by blocks 6 and 7. In block 6, the administrator after authorization by block 1 enters the access rights delimitation table, the access rights when requested are analyzed by block 7. Three permissive signals are received in block 8 - permission to access the user to a resource from block 3, permission to access a process to a resource from block 5, and permission to access a privileged process to a resource from block 7. Block 8 generates a signal to allow access to the resource to exit 15 upon receipt of permission or from the exit ka 7, or simultaneously permissions from the outputs of blocks 3 and 5, i.e. skips authorized requests of privileged processes, authorized requests of other processes within the access permissions of the current (registered in block 1) user.

Таким образом, предлагаемая система позволяет обеспечивать разграничение доступа к ресурсам не только для пользователей, но и с учетом процессов (программ), запускаемых пользователем для доступа к ресурсам. Thus, the proposed system allows to provide differentiation of access to resources not only for users, but also taking into account the processes (programs) launched by the user to access resources.

Ресурсами, к которым может разграничиваться доступ предлагаемой системой, могут быть не только файловые объекты, но и устройства (например, СОМ и LPT порты), сетевые адреса и службы хостов локальной и глобальной сети и т. д. The resources to which access by the proposed system can be delimited can be not only file objects, but also devices (for example, COM and LPT ports), network addresses and host services of the local and global networks, etc.

Блоки, используемые в заявляемой системе разграничения доступа к ресурсам, могут быть реализованы следующим образом. Blocks used in the inventive system for restricting access to resources can be implemented as follows.

Блоки 4 и 6 реализуются аналогично блоку 2 прототипа, блоки 5 и 7 аналогично блоку 3 прототипа. Блок 8 выполняет следующую логическую операцию "Выход блока 7" ИЛИ "Выход блока 3" И "Выход блока 5". Blocks 4 and 6 are implemented similarly to block 2 of the prototype, blocks 5 and 7 are similar to block 3 of the prototype. Block 8 performs the following logical operation "Block 7 output" OR "Block 3 output" AND "Block 5 output".

Блоки в общем случае могут быть реализованы как программное, так и как аппаратное средство. Blocks in the General case can be implemented both software and hardware.

Таким образом, реализация всех используемых блоков достигается стандартными средствами, базирующимися на классических принципах реализации основ вычислительной техники. Thus, the implementation of all used blocks is achieved by standard means based on the classical principles of implementing the foundations of computer technology.

К достоинствам предлагаемой системы разграничения доступа к ресурсам может быть отнесено следующее. The following can be attributed to the advantages of the proposed system for restricting access to resources.

1. Реализуется возможность разграничения прав доступа к ресурсам пользователя (по его идентификатору) с учетом того, с каким приложением он работает - какой процесс (программа) запрашивает доступ, что расширяет возможности разграничения доступа к ресурсам. 1. The possibility of differentiating access rights to user resources (by its identifier) is realized taking into account which application it is working with - which process (program) is requesting access, which expands the possibilities of differentiating access to resources.

2. Для ОС семейства Microsoft с использованием заявленной системы реализуется возможность того, что любая программа, запущенная на компьютере, получает не полный доступ к ресурсам, разрешенный текущему (зарегистрированному) пользователю, а доступ, разрешенный данной программе в рамках разрешений доступа пользователя. Поэтому, если на ПЭВМ устанавливается некоторый сетевой сервис, например DHCP сервис (удаленное администрирование ПЭВМ), то при запуске на рабочей станции агента (процесса) данного сервиса он получает доступ не ко всем ресурсам, к которым имеет доступ текущий пользователь, что делает возможным удаленный просмотр всех ресурсов пользователя из сети (при работе менеджера с агентом), а лишь тот доступ, который разрешен запрашивающему ресурс процессу. 2. For the Microsoft family OS using the claimed system, the possibility is realized that any program running on a computer does not receive full access to resources allowed to the current (registered) user, but access allowed to this program within the user's access permissions. Therefore, if some network service is installed on the PC, for example, the DHCP service (remote administration of the PC), then when the agent (process) of this service is launched on the workstation, it does not gain access to all the resources that the current user has access to, which makes it possible to remotely viewing all user resources from the network (when the manager is working with the agent), but only the access that is allowed to the requesting resource.

Claims (1)

Система разграничения доступа к ресурсам, содержащая блок авторизации пользователя, блок хранения прав доступа пользователей, блок разрешения доступа пользователя к ресурсам, причем вход блока авторизации пользователя соединена с входом авторизации пользователя, выход - с первым входом блока хранения прав доступа пользователей, с вторым входом блока разрешения доступа пользователя к ресурсам, первый вход которого - с выходом блока хранения прав доступа пользователей, второй вход которого - с входом задания прав разграничения доступа пользователей, третий вход блока разрешения доступа пользователя к ресурсам - с входом запроса доступа к ресурсу, отличающаяся тем, что дополнительно введены блок хранения прав доступа процессов, блок разрешения доступа процесса к ресурсам, блок хранения прав доступа привилегированных процессов, блок разрешения доступа привилегированного процесса к ресурсам, блок разрешения доступа к ресурсам, причем первый вход блока хранения прав доступа процессов соединен с первым входом блока хранения прав доступа привилегированных процессов, с выходом блока авторизации пользователя, второй вход - с входом задания прав разграничения доступа процессов, выход - с первым входом блока разрешения доступа процесса к ресурсам, второй вход которого - с входом идентификации процесса, запросившего доступ к ресурсу, с вторым входом блока разрешения доступа привилегированного процесса к ресурсам, первый вход которого - с выходом блока хранения прав доступа привилегированных процессов, второй вход которого - с входом задания прав разграничения доступа привилегированных процессов, первый вход блока разрешения доступа к ресурсам - с выходом блока разрешения доступа пользователя к ресурсу, второй вход - с выходом блока разрешения доступа привилегированного процесса к ресурсам, третий вход - с выходом блока разрешения доступа процесса к ресурсам, выход - с выходом разрешения доступа к ресурсу. A system for restricting access to resources, comprising a user authorization block, a user access rights storage unit, a user access permission block, the input of the user authorization block is connected to the user authorization input, the output to the first input of the user access storage unit, and the second input of the block permissions for user access to resources, the first input of which is with the output of the storage unit for user access rights, the second input of which is with the input of the task of restricting access rights users, the third input of the block for user access permission to resources - with the request for access to the resource input, characterized in that the block for storing process access rights, the block for process access to resources, the block for storing privileges for privileged processes, the block for allowing privileged process access resources, the block access permissions to resources, and the first input of the storage block of the access rights of the processes is connected to the first input of the storage block of the access rights of privileged processes, from ode to the user authorization block, the second input - with the input of the task of restricting access rights to processes, the output - with the first input of the process access permission block to the resources, the second input of which is with the identification of the process that requested access to the resource, with the second input of the privileged process access permission block to resources, the first input of which is with the output of the privileged process access rights storage unit, the second input of which is with the input of the privilege access control privileges of the privileged processes, the first input is a resource access permission lock - with the output of the user access permission block for the resource, the second input - with the access block of the privileged process access permission block for the resources, the third input - with the output of the process access permission block for the resources, output - with the output of the resource access permission.
RU2001119323A 2001-07-12 2001-07-12 Resource access differentiation system RU2207619C2 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
RU2001119323A RU2207619C2 (en) 2001-07-12 2001-07-12 Resource access differentiation system

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
RU2001119323A RU2207619C2 (en) 2001-07-12 2001-07-12 Resource access differentiation system

Publications (2)

Publication Number Publication Date
RU2001119323A RU2001119323A (en) 2003-06-27
RU2207619C2 true RU2207619C2 (en) 2003-06-27

Family

ID=29210009

Family Applications (1)

Application Number Title Priority Date Filing Date
RU2001119323A RU2207619C2 (en) 2001-07-12 2001-07-12 Resource access differentiation system

Country Status (1)

Country Link
RU (1) RU2207619C2 (en)

Cited By (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8453200B2 (en) 2004-10-01 2013-05-28 Microsoft Corporation Access authorization having embedded policies
RU2534488C1 (en) * 2013-06-18 2014-11-27 Закрытое акционерное общество "Научно-производственное предприятие "Информационные технологии в бизнесе" System for controlling access to computer system resources with "initial user, effective user, process" subject
RU2534599C1 (en) * 2013-04-30 2014-11-27 Закрытое акционерное общество "Научно-производственное предприятие "Информационные технологии в бизнесе" Access control system to resources of computer system with subject of access "user, processes"
RU2538918C1 (en) * 2013-06-26 2015-01-10 Закрытое акционерное общество "Научно-производственное предприятие "Информационные технологии в бизнесе" System for reforming object in access request
RU2543561C1 (en) * 2013-10-25 2015-03-10 Закрытое акционерное общество "Научно-производственное предприятие "Информационные технологии в бизнесе" System for session-based resource access control
RU2562410C2 (en) * 2013-12-10 2015-09-10 Закрытое акционерное общество "Научно-производственное предприятие "Информационные технологии в бизнесе" System for session-based file object access control
RU2571380C2 (en) * 2013-12-27 2015-12-20 Закрытое акционерное общество "Лаборатория Касперского" System and method of isolating resources using resource managers
RU2580815C2 (en) * 2013-12-27 2016-04-10 Общество с ограниченной ответственностью "НеоБИТ" Method for centralised control of access of control systems to active network equipment in distributed computer systems and system therefor
RU2632142C2 (en) * 2015-06-30 2017-10-02 Общество С Ограниченной Ответственностью "Яндекс" Method and electronic permission management unit for objects
RU174148U1 (en) * 2017-06-14 2017-10-04 Федеральное государственное учреждение "Федеральный исследовательский центр "Информатика и управление" Российской Академии Наук" TECHNOLOGICAL PLATFORM FOR INTEGRATION OF INFORMATION RESOURCES OF THE SYSTEM OF INTERDEPARTMENTAL ELECTRONIC INTERACTION

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
ВАЛДА ХИЛЛЕЙ, Секреты Windows NT Server 4.0. - Киев: Диалектика, 1997, с.14-15. *

Cited By (12)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8453200B2 (en) 2004-10-01 2013-05-28 Microsoft Corporation Access authorization having embedded policies
US8931035B2 (en) 2004-10-01 2015-01-06 Microsoft Corporation Access authorization having embedded policies
US9069941B2 (en) 2004-10-01 2015-06-30 Microsoft Technology Licensing, Llc Access authorization having embedded policies
RU2534599C1 (en) * 2013-04-30 2014-11-27 Закрытое акционерное общество "Научно-производственное предприятие "Информационные технологии в бизнесе" Access control system to resources of computer system with subject of access "user, processes"
RU2534488C1 (en) * 2013-06-18 2014-11-27 Закрытое акционерное общество "Научно-производственное предприятие "Информационные технологии в бизнесе" System for controlling access to computer system resources with "initial user, effective user, process" subject
RU2538918C1 (en) * 2013-06-26 2015-01-10 Закрытое акционерное общество "Научно-производственное предприятие "Информационные технологии в бизнесе" System for reforming object in access request
RU2543561C1 (en) * 2013-10-25 2015-03-10 Закрытое акционерное общество "Научно-производственное предприятие "Информационные технологии в бизнесе" System for session-based resource access control
RU2562410C2 (en) * 2013-12-10 2015-09-10 Закрытое акционерное общество "Научно-производственное предприятие "Информационные технологии в бизнесе" System for session-based file object access control
RU2571380C2 (en) * 2013-12-27 2015-12-20 Закрытое акционерное общество "Лаборатория Касперского" System and method of isolating resources using resource managers
RU2580815C2 (en) * 2013-12-27 2016-04-10 Общество с ограниченной ответственностью "НеоБИТ" Method for centralised control of access of control systems to active network equipment in distributed computer systems and system therefor
RU2632142C2 (en) * 2015-06-30 2017-10-02 Общество С Ограниченной Ответственностью "Яндекс" Method and electronic permission management unit for objects
RU174148U1 (en) * 2017-06-14 2017-10-04 Федеральное государственное учреждение "Федеральный исследовательский центр "Информатика и управление" Российской Академии Наук" TECHNOLOGICAL PLATFORM FOR INTEGRATION OF INFORMATION RESOURCES OF THE SYSTEM OF INTERDEPARTMENTAL ELECTRONIC INTERACTION

Similar Documents

Publication Publication Date Title
US10650156B2 (en) Environmental security controls to prevent unauthorized access to files, programs, and objects
US5347578A (en) Computer system security
KR100596135B1 (en) Control system for access classified by application in virtual disk and Controling method thereof
McIlroy et al. Multilevel security in the UNIX tradition
US8136147B2 (en) Privilege management
US5586301A (en) Personal computer hard disk protection system
Xu et al. Towards a VMM-based usage control framework for OS kernel integrity protection
US5361359A (en) System and method for controlling the use of a computer
US20080172720A1 (en) Administering Access Permissions for Computer Resources
JP2002517853A (en) Minimum permissions via restricted token
US20070050369A1 (en) Accessing file under confinement
CN112805708B (en) Protecting selected disks on a computer system
US20070271472A1 (en) Secure Portable File Storage Device
RU2207619C2 (en) Resource access differentiation system
KR100706338B1 (en) Virtual access control security system for supporting various access control policies in operating system or application
KR20030090568A (en) System for protecting computer resource and method thereof
RU2630163C1 (en) Method of control of files access
KR100549644B1 (en) Control system for access classified application in virtual disk and controling method thereof
Viega et al. The pros and cons of Unix and Windows security policies
KR102214162B1 (en) A user-based object access control system using server's hooking
US20080301781A1 (en) Method, system and computer program for managing multiple role userid
Wong A comparison of secure UNIX operating systems
RU2534599C1 (en) Access control system to resources of computer system with subject of access "user, processes"
RU2534488C1 (en) System for controlling access to computer system resources with "initial user, effective user, process" subject
JP7288193B2 (en) Information processing program, information processing apparatus, and information processing method

Legal Events

Date Code Title Description
MM4A The patent is invalid due to non-payment of fees

Effective date: 20090713