CN100414471C - 通过简化访问控制语言在计算机环境中控制目录记录访问的方法 - Google Patents
通过简化访问控制语言在计算机环境中控制目录记录访问的方法 Download PDFInfo
- Publication number
- CN100414471C CN100414471C CNB008159122A CN00815912A CN100414471C CN 100414471 C CN100414471 C CN 100414471C CN B008159122 A CNB008159122 A CN B008159122A CN 00815912 A CN00815912 A CN 00815912A CN 100414471 C CN100414471 C CN 100414471C
- Authority
- CN
- China
- Prior art keywords
- user
- write
- access control
- access
- read
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Lifetime
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F9/00—Arrangements for program control, e.g. control units
- G06F9/06—Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
- G06F9/46—Multiprogramming arrangements
- G06F9/468—Specific access rights for resources, e.g. using capability register
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y10—TECHNICAL SUBJECTS COVERED BY FORMER USPC
- Y10S—TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y10S707/00—Data processing: database and file management or data structures
- Y10S707/99931—Database or file accessing
- Y10S707/99939—Privileged access
Landscapes
- Engineering & Computer Science (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Storage Device Security (AREA)
- Information Retrieval, Db Structures And Fs Structures Therefor (AREA)
Abstract
一种简化的LDAP访问语言系统提供了告知目录系统用户想让谁读取或写入访问其特定属性集。读取和写入属性是单独的列表,并且实际上可能不相同。这就给予用户能更好管理对他的属性访问的灵活性。读和写属性的值为LDAP格式,该格式是一种因特网标准(RFC 2254)。过滤属性允许用户不仅能规定位于其内联网中的用户,还可以规定通过因特网的用户。访问控制列表(ACL)由系统管理员创建。ACL将用户被允许能控制读或写访问的特定属性列出。这就使得管理员能对哪些信息可以由用户发表进行完全控制。ACL与记录一起存储在目录中。当用户访问目录中的记录时,服务器对要访问属性所规定的ACL进行检验。当服务器检验ACL时,对所访问属性拥有者的读或写属性由服务器使用。读或写属性和ACL的结合判定用户是否具有执行对所访问属性的读或写访问的许可。
Description
技术领域
本发明涉及从计算机环境中的目录结构访问信息。具体说,本发明涉及控制对计算机环境中LDAP目录结构中的数据访问。
背景技术
简便目录访问协议(LDAP)目录(例如Netscape通信公司的目录服务器)是“记录”的集合。每条记录具有名字以及属性值列表。目录中的记录以树结构形式组织,具有细分为更小单元的大分组。一个目录可能含有几个组织记录,每个组织记录都含有几个组织单元记录。这些记录可以进一步细分。
LDAP提供了能够在目录树规定部分上执行的搜索操作。因此,树和子树就是处理存储在LDAP目录中数据的通常方法。
记录和属性对应于宽范围的各种数据类型例如人事信息、服务器配置、商业关系以及用户特征。因为所有的记录存储在单个目录中,所以,需要一种方法将规定信息的可用性限制给予授权用户。
用于控制访问的方法是通过存取控制表(ACL)。目录服务器管理员(DSAdmin)创建一些基本规则以授权许可某些用户访问目录中的各种信息。大多数安全考虑事项需要从几十到几百条规则来实现。较小数量的ACL规则能提供更好的性能和更简单的管理性。
因为目录是含有信息集合(例如有关人的信息)的内联网中关键的中心知识库,因此,就不可避免地提供了一组丰富的访问选项/特性。例如,在没有任何DSAdmin干涉的情况下,用户应该能对他的记录进行修改,或更新他的家庭地址或家庭电话号码。
一种较好的特性是使得用户能够决定谁能访问他的某些个人信息。而实现该特性的唯一途径就是允许用户创建ACL。然而,一个目录可以含有几百万条记录,例如Netscape Netcenter所使用的目录。为了使用传统方法支持该目录大小,就将需要几百万个ACL,这不仅使得服务器性能下降,而且也会有很高的不可管理性。它还产生了风险,即用户可以创建规则以拒绝DSAdmin某些不可接受的特权。
另一不利之处在于ACL语法通常很复杂。普通用户不能理解为能有效安全地使用这些规则而设定的规则格式和字段。
因此,需要提供一种简化LDAP访问控制语言系统,该系统能允许用户规定能访问该用户目录记录信息中某些属性的人物列表。进一步需要提供一种简化LDAP访问控制语言系统,以提供一种简单的机制允许用户做出这些规定。
发明内容
本发明提供了一种简化LDAP访问控制语言系统。该系统提供了一种简单的命令语言,它允许系统管理员给用户规定能访问目录记录中某些属性的人物列表的灵活性。另外,本发明提供一种系统,允许用户在不需要理解复杂命令语法的情况下,简单地规定访问列表。
本发明的较佳实施例提供了告知目录系统用户想给谁对他属性的规定集合进行读或写访问的用户定义属性。这些读和写属性是单独的列表,并且实际上可能不相同。这就给予用户能更好管理对他的属性访问的灵活性。
读和写属性的值为LDAP格式,该格式是一种因特网标准(RFC 2254)。过滤属性允许用户不仅能规定位于其内联网中的用户,还可以规定通过因特网的用户。
访问控制列表(ACL)由系统管理员创建。ACL将用户被允许能控制读或写访问的特定属性列出。这就使得管理员能对哪些信息可以由用户发表进行完全控制。
ACL与记录一起存储在目录中。当用户访问目录中的记录时,服务器对要访问属性所规定的ACL进行检验。当服务器检验ACL时,对所访问属性拥有者的读或写属性由服务器使用。读或写属性和ACL的结合判定用户是否具有执行对所访问属性的读或写访问的许可。
所以,在本发明的一个方面提供了一种用于通过简化访问控制语言在计算机环境中控制对目录记录的访问的方法,所述方法包括下述步骤:为用户创建读取访问控制列表命令,其中该读取访问控制列表命令列出了一组由所述系统管理员创建并控制的用户属性;应用所述读取访问控制列表命令,其中通过列出来自所述系统管理员所定义的用户属性的子集以便将对该用户属性的子集的读取访问授权给一个或多个其他用户,并且列出所述一个或多个其他用户的用户标识,以便使得所述一个或多个其他用户被授权具有对所述系统管理员所定义的用户属性的子集读取访问;在一目录中存储所述读取访问控制列表命令,所述目录含有所述用户属性;以及响应于所述一个或多个其他用户对所述目录中的所述用户属性的访问,所述读取访问控制列表命令参照所述用户标识的列表,以允许所述一个或多个其他用户对所述系统管理员所定义的用户属性进行读取访问。
在本发明的另一个方面提供了一种用于通过简化访问控制语言在计算机环境中控制对目录记录访问的方法,所述方法包括下述步骤:创建读取访问控制列表命令,该命令列出所述管理员为用户定义读取访问所创建的用户属性;从所述用户属性列表中选择出一个子集以用于一个或多个其他用户的读取访问;创建写入访问控制列表ACL命令,所述命令列出所述管理员为用户定义写入访问所创建的用户属性;从所述用户属性列表中选择出一个子集以用于一个或多个其他用户的写入访问;提供多个用户定义访问控制列表命令属性读取列表,该列表含有被允许从管理员为用户定义的读取访问所创建的所述用户属性中读取所述用户定义的子集的所述一个或多个其他用户的用户标识;提供多个用户定义访问控制列表命令属性写入列表,该列表含有被允许从管理员为用户定义的写入访问所创建的所述用户属性中写入所述用户定义的子集的所述一个或多个其他用户的用户标识;以及将所述读取访问控制列表命令和所述写入访问控制列表命令存储在含有所述用户属性的目录中;其中,响应于所述一个或多个其他用户对所述用户属性之一的读取访问请求,应用所述读取访问控制列表命令和要访问的属性拥有者的读取列表来判定所述一个或多个其他用户是否具有执行所述读取访问的许可;其中,响应于所述一个或多个其他用户对所述用户属性之一的写入访问请求,应用所述写入访问控制列表命令和要访问的属性拥有者的写入列表来判定所述一个或多个其他用户是否具有执行所述写入访问的许可。
在本发明的又一方面,一种用于通过简化访问控制语言在计算机环境中控制对目录记录访问的方法,所述方法包括下述步骤:为用户创建写入访问控制列表命令,所述写入访问控制列表命令列出所述管理员创建并控制的一组用户属性;应用所述写入访问控制列表命令,其中通过列出来自所述系统管理员所定义的用户属性的子集以便将对该用户属性的子集的写入访问授权给一个或多个其他用户,并且列出所述一个或多个其他用户的用户标识,以便使得所述一个或多个其他用户被授权具有对所述系统管理员所定义的用户属性的子集写入访问;在一目录中存储所述写入访问控制列表命令,所述目录含有所述用户属性;以及响应于所述一个或多个其他用户对所述目录中的所述用户属性的访问,所述写入访问控制列表命令参照所述用户标识的列表,以允许所述一个或多个其他用户对所述系统管理员所定义的用户属性进行写入访问。
本发明的其他方面和优点将可以从下面结合附图的通过示例说明本发明原理的详细描述中变得显而易见。
附图说明
图1是根据本发明的LDAP目录记录图例;
图2是如何根据本发明访问n个属性的示例的示意图;
图3是描述根据本发明的公司层次树中用户组织的示意框图;和
图4是根据本发明包括ACL、记录以及读/写属性的目录示意框图。
具体实施方式
本发明包含在一种计算机环境中简化的LDAP访问控制语言系统中。根据本发明的系统提供了一种简单的命令语言,它允许系统管理员给予用户能规定访问目录记录中某些属性的人物列表的灵活性。另外,本发明提供了一种系统,它允许用户在不需要理解复杂的命令语法的情况下,方便地规定访问列表。
简便目录访问协议(LDAP)目录(例如Netscape通信公司的目录服务器)是“记录”的集合。每条记录具有名字(称为区分名)以及属性值列表。目录中的记录以树结构形式组织,具有可细分为更小单元的较大分组。一个目录可能含有几个组织记录,每个组织记录都含有几个组织单元记录。这些记录可以进一步细分。
LDAP提供了能够在目录树规定部分上执行的搜索操作。因此,树和子树就是处理存储在LDAP目录中数据的通常方法。
记录和属性对应于宽范围的各种数据类型例如人事信息、服务器配置、商业关系以及用户特征。因为所有的记录存储在单个目录中,所以,需要一种方法将特定信息的可用性限制给予授权用户。
用于控制访问的方法是通过存取控制表(ACL)。目录服务器管理员(DSAdmin)创建一些基本规则以授权许可某些用户访问目录中的各种信息。大多数安全考虑事项需要从几十到几百条规则来实现。较小数量的ACL规则能提供更好的性能和更简单的管理性。
因为目录是含有信息集合(例如有关人的信息)的内联网中关键的中心知识库,因此,就不可避免地提供了一组丰富的访问选项/特性。例如,在没有任何DSAdmin干涉的情况下,用户应该能对他的记录进行修改,或更新他的家庭地址或家庭电话号码。
一种较好的特性是使得用户能够决定谁能访问他的某些个人信息。而实现该特性的唯一途径就是允许用户创建ACL。然而,一个目录可以含有几百万条记录,例如Netscape Netcenter所使用的目录。为了使用传统方法支持该目录大小,就将需要几百万个ACL,这不仅使得服务器性能下降,而且也会有很高的不可管理性。它还产生了风险,即用户可以创建规则以拒绝DSAdmin某些不可接受的特权。
另一不利之处在于ACL语法通常很复杂。普通用户不能理解为能有效安全地使用这些规则而设定的规则格式和字段。
所存在的问题是:
●如何让用户管理他们自身的某些信息。
●DSAdmin如何管理信息,以便不违反安全规则。
●如何在上述情况下使得服务器易管理。
理论上,DSAdmin需要具有执行下述任务的规则(从目录中n个属性当中):
1、允许n1个属性由世界上的任何人都能读取(这是典型的要求)。示例属性为cn、sn、电话号码。
2、允许n2个属性由用户自身进行读取和修改,例如家庭地址、家庭电话号码。
3、允许n3个属性由拥有者/管理员进行管理,例如薪金、雇员等级。
4、允许n4个属性由用户进行管理,即用户决定谁能读取或修改这些属性,例如,用户可以决定仅Sam可以读取他业余爱好属性,并且仅Kelly能读取或改变紧急联系信息,以便她能使其保持最新。
5、不允许剩余的n5=[n-(n1+n2+n3+n4)]个属性对除管理员组外的一般公众可访问,例如雇员状况。
问题1、2、3和5的解决比较简单,并且将在下面进行解释。最困难的一项就是第4种情况。如前所述,为了确保这种特性需要为用户提供创建其自身ACL的能力。这将导致有数百万个ACL,这是不可接受的。本文档的其余部分将描述一种使用少量ACL以及现有因特网标准来克服这些问题的新颖方法。
一种适用本方法的领域是具有Netcenter成员记录的NetscapeNetcenter。所有的成员信息存储在目录服务器中。Netcenter管理员不仅要维护成员的信息/简况,还要提供允许成员维护其他成员能访问的某些其他关键字信息的灵活性。这是一种目前还没有优秀方法能解决该问题的迫切需求。
本领域的熟练技术人员可以很容易理解虽然通篇所提及的是LDAP目录,但本发明可以在任何目录应用中实现。另外,虽然所引用的实例是涉及有关人的属性,但本领域的熟练技术人员可以很容易理解本发明可以控制访问存储在系统中的任意属性。
参照图1,示出个人LDAP目录记录101的实例。列出了有关特定个人的属性。这些属性的一部分由管理员102控制,例如,dn、sn、uid。某些属性103是用户想控制读和写访问的属性,例如,业余爱好、主页、个人页面。
LDAP标准是十分灵活的。它允许通过加入新的属性或对象类对方案进行扩展。某人可以将新的称为“hobbies”的属性107加入记录,只要对象类已经加入了该属性。
相对于图2,理想情况是当给出n个属性201,某些属性为公用202,例如电话号码,任何用户都可看见它们。其他属性是私有的,并且对于其他用户通常不可见。例如,部门管理员和经理仅能访问个人薪金属性203或仅超级管理员能访问个人雇员的状况204。最后的属性集是用户控制属性205,例如,业余爱好、主页和个人页面。
下述ACL语法用于解释如何解决1、2、3和5的情况。注意,语法仅用于参考。
●允许n1个属性由任何人读取:
ACL:(n1个属性列表)(允许(读取)用户=“anyone”)
●允许n2个属性由自身读取/可写:
ACL:(n2个属性列表)(允许(读取,写入)用户=“self”)
●允许n5个属性仅由管理员组读取/可写:
ACL:(n5个属性列表)(允许(读取,写入)组=“Admingroup”)
●允许拥有者和管理员对n3个属性进行管理:
ACL:(n3个属性列表)(允许(读取,写入)属性=“manager”或属性=“owner”)
再次参照图1,用户Prasanta 108的管理员是Claire109,并且她能读取/写入n3个属性的列表。同样,Joe的管理员Bill能读取/修改Joe的n3个属性。这可以使用一个ACL完成。“管理员”的值在运行时间插入。
对于情况4,要求就更加复杂。从n4个属性当中,必须实现较好的间隔尺寸(granularity),即n4个属性可以由某些人读取(n4-读取属性)并且可以由某些人修改(不一定必须是能读取属性的同一个人)(n4-写属性)。本发明的较佳实施例类似于其他情况通过提供ACL来解决第4种情况,但还使用用户定义的属性。
再次参照图1,用户定义属性104告知系统用户希望给予谁对其属性103进行读取105和写入106的许可。很明显读取105和写入106属性是单独的列表,并且实际上可以不相同。这就给予用户能更好管理对其属性访问的灵活性。
本发明的ACL语法如下(使用先前讨论的实例):
ACL:(n4-读属性列表)(允许(读取)过滤属性=“whocanreadattr”)
Ex:(业余爱好,紧急联系)(允许(读取)过滤属性=“whocanreadattr”)
ACL:(n4-写属性列表)(允许(写入)过滤属性=“whocanwriteattr”)
EX:(紧急联系)(允许(写入)过滤属性=“whocanwriteattr”)
其中whocanreadattr和whocanwriteattr的值是:
whocanreadattr:(((Idap:///o=abc,com?(uid=sam))(uid=kelly))
whocanwriteattr:(uid=kelly)
读取和写入属性的值为LDAP过滤格式,该格式是因特网标准(RFC 2254)。ACL由DSAdmin创建。这就给予DSAdmin对用户可以发出哪些信息进行完全控制。相对于图3,过滤属性允许用户不仅规定位于其内联网中的用户,还能规定因特网上的用户。在上述实例中,Prasanta303和Kelly304是同一公司(Net scape 301)的用户302。“whocanreadattr”属性给予来自ABC公司的Sam和来自Netscape的Kelly读取访问。参照图4,ACL 402和记录403一起存储在目录401中。当用户访问目录401中的记录403时,服务器对访问属性所规定的ACL 402进行检验。当服务器检验ACL 402时,所访问属性拥有者的读取404或写入405属性由服务器使用。
使用上述实例时,“whocanwriteattr”的值通过服务器在运行时间中用“(uid=kelly)”插入。因此,如果Kelly是访问客户,过滤器就匹配为TRUE,并且允许Kelly修改“紧急联系”属性。然而,如果Bill为客户,过滤器就与FALSE匹配,并且拒绝给Bill特权。每个用户现在都可以创建LDAP过滤器,以允许他们对他们自己的信息进行管理。
本发明的优势在于:
●Admin具有对用户所做事情的完全控制。
●仅需要少量ACL,而不是数百万个。
●服务器的性能有显著提高。
●新属性的值是依据因特网的标准。
虽然本发明再次是结合较佳实施例进行描述,但本领域的熟练技术人员可以很容易理解在不背离本发明的精神和范畴的情况下,其他应用也能取代前述的实施例。因此,本发明仅局限于下述权利要求。
Claims (9)
1. 一种用于通过简化访问控制语言在计算机环境中控制对目录记录的访问的方法,所述方法包括下述步骤:
为用户创建读取访问控制列表命令,其中该读取访问控制列表命令列出了一组由系统管理员创建并控制的用户属性;
应用所述读取访问控制列表命令,其中通过列出来自所述系统管理员所定义的用户属性的子集以便将对该用户属性的子集的读取访问授权给一个或多个其他用户,并且列出所述一个或多个其他用户的用户标识,以便使得所述一个或多个其他用户被授权能够对所述系统管理员所定义的用户属性的子集读取访问;
在一目录中存储所述读取访问控制列表命令,所述目录含有所述用户属性;以及
响应于所述一个或多个其他用户对所述目录中的所述用户属性的访问,所述读取访问控制列表命令参照所述用户标识的列表,以允许所述一个或多个其他用户对所述系统管理员所定义的用户属性进行读取访问。
2. 如权利要求1所述的方法,其特征在于,依据客户端读取访问,目录服务器根据所访问的属性选择特定读取访问控制命令,并且参照所访问属性拥有者的读取列表来判定所述客户端是否具有执行所述读取访问的许可。
3. 如权利要求1所述的方法,其特征在于,进一步包括下述步骤:
提供含有被允许写入特定属性集的用户标识的用户定义的写入列表;
提供系统管理员定义的写入访问控制命令;
所述写入访问控制命令列出用户属性,所述用户属性是所述系统管理员为用户定义的写入访问所选的属性;以及
所述写入访问控制命令参照所述用户定义的写入列表,因而允许具有所述用户标识的用户对所述用户属性进行写入访问。
4. 如权利要求3所述的方法,其特征在于,依据客户端写入访问,目录服务器根据所访问的属性选择特定写入访问控制命令,并且参照所访问属性拥有者的写入列表来判定所述客户端是否具有执行所述写入访问的许可。
5. 一种用于通过简化访问控制语言在计算机环境中控制对目录记录访问的方法,所述方法包括下述步骤:
创建读取访问控制列表命令,该命令列出所述系统管理员为用户定义的读取访问所创建的用户属性;
从所述用户属性列表中选择出一个子集以用于一个或多个其他用户的读取访问;
创建写入访问控制列表命令,所述命令列出所述系统管理员为用户定义的写入访问所创建的用户属性;
从所述用户属性列表中选择出一个子集以用于一个或多个其他用户的写入访问;
提供多个用户定义的访问控制列表命令属性读取列表,该列表含有被允许从系统管理员为用户定义的读取访问所创建的所述用户属性中读取所述用户定义的子集的所述一个或多个其他用户的用户标识;
提供多个用户定义的访问控制列表命令属性写入列表,该列表含有被允许从系统管理员为用户定义的写入访问所创建的所述用户属性中写入所述用户定义的子集的所述一个或多个其他用户的用户标识;以及
将所述读取访问控制列表命令和所述写入访问控制列表命令存储在含有所述用户属性的目录中;
其中,响应于所述一个或多个其他用户对所述用户属性之一的读取访问请求,应用所述读取访问控制列表命令和要访问的属性拥有者的读取列表来判定所述一个或多个其他用户是否具有执行所述读取访问的许可;
其中,响应于所述一个或多个其他用户对所述用户属性之一的写入访问请求,应用所述写入访问控制列表命令和要访问的属性拥有者的写入列表来判定所述一个或多个其他用户是否具有执行所述写入访问的许可。
6. 一种用于通过简化访问控制语言在计算机环境中控制对目录记录访问的方法,所述方法包括下述步骤:
为用户创建写入访问控制列表命令,所述写入访问控制列表命令列出所述系统管理员创建并控制的一组用户属性;
应用所述写入访问控制列表命令,其中通过列出来自所述系统管理员所定义的用户属性的子集以便将对该用户属性的子集的写入访问授权给一个或多个其他用户,并且列出所述一个或多个其他用户的用户标识,以便使得所述一个或多个其他用户被授权能够对所述系统管理员所定义的用户属性的子集写入访问;
在一目录中存储所述写入访问控制列表命令,所述目录含有所述用户属性;以及
响应于所述一个或多个其他用户对所述目录中的所述用户属性的访问,所述写入访问控制列表命令参照所述用户标识的列表,以允许所述一个或多个其他用户对所述系统管理员所定义的用户属性进行写入访问。
7. 如权利要求6所述的方法,其特征在于,依据客户端写入访问,目录服务器根据所访问的属性选择特定写入访问控制命令,并且参照所访问属性拥有者的写入列表来判定所述客户端是否具有执行所述写入访问的许可。
8. 如权利要求6所述的方法,其特征在于,进一步包括下述步骤:
提供含有被允许读取特定属性集的用户标识的用户定义的读取列表;
提供系统管理员定义的读取访问控制命令;
其中所述读取访问控制命令列出用户属性,所述用户属性是所述系统管理员为用户定义的读取访问所选的属性;并且
所述读取访问控制命令参照所述用户定义的读取列表,因而允许具有所述用户标识的用户对所述用户属性进行读取访问。
9. 如权利要求8所述的方法,其特征在于,依据客户端读取访问,目录服务器根据所访问的属性选择特定读取访问控制命令,并且参照所访问属性拥有者的读取列表来判定所述客户端是否具有执行所述读取访问的许可。
Applications Claiming Priority (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US09/447,443 | 1999-11-22 | ||
| US09/447,443 US6950819B1 (en) | 1999-11-22 | 1999-11-22 | Simplified LDAP access control language system |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN1451109A CN1451109A (zh) | 2003-10-22 |
| CN100414471C true CN100414471C (zh) | 2008-08-27 |
Family
ID=23776393
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CNB008159122A Expired - Lifetime CN100414471C (zh) | 1999-11-22 | 2000-10-19 | 通过简化访问控制语言在计算机环境中控制目录记录访问的方法 |
Country Status (7)
| Country | Link |
|---|---|
| US (1) | US6950819B1 (zh) |
| EP (1) | EP1232432A2 (zh) |
| JP (1) | JP2003515806A (zh) |
| CN (1) | CN100414471C (zh) |
| AU (1) | AU1573701A (zh) |
| HK (1) | HK1046963A1 (zh) |
| WO (1) | WO2001038971A2 (zh) |
Families Citing this family (14)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7610390B2 (en) | 2001-12-04 | 2009-10-27 | Sun Microsystems, Inc. | Distributed network identity |
| AU2003904317A0 (en) | 2003-08-13 | 2003-08-28 | Securicom (Nsw) Pty Ltd | Remote entry system |
| JP4273934B2 (ja) * | 2003-11-13 | 2009-06-03 | 株式会社日立製作所 | ファイルシステム |
| US7577132B2 (en) * | 2004-10-28 | 2009-08-18 | Microsoft Corporation | User interface for securing lightweight directory access protocol traffic |
| US9697373B2 (en) * | 2004-11-05 | 2017-07-04 | International Business Machines Corporation | Facilitating ownership of access control lists by users or groups |
| GB0610113D0 (en) * | 2006-05-20 | 2006-06-28 | Ibm | Method and system for the storage of authentication credentials |
| EP1860589B1 (en) * | 2006-05-26 | 2013-11-27 | Incard SA | Method for accessing structured data in IC Cards |
| US20080016546A1 (en) * | 2006-07-13 | 2008-01-17 | Li Tong L | Dynamic profile access control |
| CN101431402B (zh) * | 2007-11-05 | 2012-02-08 | 中兴通讯股份有限公司 | Ldap账号源与aaa系统的高效挂接方法 |
| US20100036845A1 (en) * | 2008-08-07 | 2010-02-11 | Research In Motion Limited | System and Method for Negotiating the Access Control List of Data Items in an Ad-Hoc Network with Designated Owner Override Ability |
| US9882769B2 (en) * | 2008-08-08 | 2018-01-30 | Blackberry Limited | System and method for registration of an agent to process management object updates |
| US8250628B2 (en) * | 2009-08-28 | 2012-08-21 | International Business Machines Corporation | Dynamic augmentation, reduction, and/or replacement of security information by evaluating logical expressions |
| US8601263B1 (en) | 2010-05-18 | 2013-12-03 | Google Inc. | Storing encrypted objects |
| US10277601B1 (en) * | 2015-05-11 | 2019-04-30 | Google Llc | System and method for recursive propagating application access control |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| EP0473960A2 (en) * | 1990-09-07 | 1992-03-11 | Xerox Corporation | Hierarchical shared books with database |
| CN1145489A (zh) * | 1995-06-06 | 1997-03-19 | 美国电报电话公司 | 数据库访问管理的系统和方法 |
| CN1159234A (zh) * | 1995-06-06 | 1997-09-10 | 美国电报电话Ipm公司 | 数据库访问控制的系统和方法 |
| EP0952698A2 (en) * | 1998-03-25 | 1999-10-27 | Sun Microsystems, Inc. | System and method for restricting database access to managed object information using a permissions table |
Family Cites Families (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US4799153A (en) * | 1984-12-14 | 1989-01-17 | Telenet Communications Corporation | Method and apparatus for enhancing security of communications in a packet-switched data communications system |
| US5129083A (en) * | 1989-06-29 | 1992-07-07 | Digital Equipment Corporation | Conditional object creating system having different object pointers for accessing a set of data structure objects |
| US5263165A (en) * | 1990-02-15 | 1993-11-16 | International Business Machines Corporation | System for providing user access control within a distributed data processing system having multiple resource managers |
| JPH06348575A (ja) * | 1993-06-11 | 1994-12-22 | Pfu Ltd | データベース制御装置 |
| US5880731A (en) * | 1995-12-14 | 1999-03-09 | Microsoft Corporation | Use of avatars with automatic gesturing and bounded interaction in on-line chat session |
| FR2745649B1 (fr) * | 1996-03-01 | 1998-04-30 | Bull Sa | Systeme de configuration de logiciels preconfigures sur des systemes ouverts en reseau dans un environnement distribue et procede mis en oeuvre par un tel systeme |
| US6098081A (en) * | 1996-05-06 | 2000-08-01 | Microsoft Corporation | Hypermedia navigation using soft hyperlinks |
| JPH10198593A (ja) * | 1997-01-10 | 1998-07-31 | Nec Corp | オブジェクト指向データベースシステム |
| US6470332B1 (en) * | 1999-05-19 | 2002-10-22 | Sun Microsystems, Inc. | System, method and computer program product for searching for, and retrieving, profile attributes based on other target profile attributes and associated profiles |
-
1999
- 1999-11-22 US US09/447,443 patent/US6950819B1/en not_active Expired - Lifetime
-
2000
- 2000-10-19 AU AU15737/01A patent/AU1573701A/en not_active Abandoned
- 2000-10-19 CN CNB008159122A patent/CN100414471C/zh not_active Expired - Lifetime
- 2000-10-19 WO PCT/US2000/029057 patent/WO2001038971A2/en active Application Filing
- 2000-10-19 JP JP2001540459A patent/JP2003515806A/ja active Pending
- 2000-10-19 EP EP00978258A patent/EP1232432A2/en not_active Withdrawn
-
2002
- 2002-10-18 HK HK02107600.5A patent/HK1046963A1/zh unknown
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| EP0473960A2 (en) * | 1990-09-07 | 1992-03-11 | Xerox Corporation | Hierarchical shared books with database |
| CN1145489A (zh) * | 1995-06-06 | 1997-03-19 | 美国电报电话公司 | 数据库访问管理的系统和方法 |
| CN1159234A (zh) * | 1995-06-06 | 1997-09-10 | 美国电报电话Ipm公司 | 数据库访问控制的系统和方法 |
| EP0952698A2 (en) * | 1998-03-25 | 1999-10-27 | Sun Microsystems, Inc. | System and method for restricting database access to managed object information using a permissions table |
Also Published As
| Publication number | Publication date |
|---|---|
| WO2001038971A3 (en) | 2002-03-07 |
| WO2001038971A2 (en) | 2001-05-31 |
| AU1573701A (en) | 2001-06-04 |
| HK1046963A1 (zh) | 2003-01-30 |
| JP2003515806A (ja) | 2003-05-07 |
| US6950819B1 (en) | 2005-09-27 |
| CN1451109A (zh) | 2003-10-22 |
| EP1232432A2 (en) | 2002-08-21 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN100414471C (zh) | 通过简化访问控制语言在计算机环境中控制目录记录访问的方法 | |
| JP6111394B2 (ja) | 電子メッセージキャンペーンの様相へのアクセスを制御するためのシステムおよび方法 | |
| Al-Kahtani et al. | Induced role hierarchies with attribute-based RBAC | |
| CN101256605B (zh) | 企业权利框架 | |
| US7233959B2 (en) | Life-cycle management engine | |
| US6671695B2 (en) | Dynamic group generation and management | |
| US7343628B2 (en) | Authorization data model | |
| US6735591B2 (en) | Universal information warehouse system and method | |
| JP3983961B2 (ja) | ディレクトリ情報管理装置及びプログラムを記録したコンピュータ読み取り可能な記録媒体 | |
| US20030154180A1 (en) | Profile management system | |
| CA2302301A1 (en) | Effective dated tree control in a component based-object oriented convergent customer care and billing system | |
| EP1066561A1 (en) | Document management extension software | |
| US20040098386A1 (en) | Profile management system | |
| US20040267707A1 (en) | Personal portal and secure information exchange | |
| Henricksen et al. | Extending context models for privacy in pervasive computing environments | |
| US7216117B2 (en) | System and method for address book customization for shared emessaging | |
| CN102279853A (zh) | 一种基于ldap的快速数据访问方法 | |
| CN108563957A (zh) | 一种用户管理系统 | |
| Khungar et al. | A context based storage system for mobile computing applications | |
| EP1374128A1 (en) | Profile management system | |
| JP4166704B2 (ja) | ライフサイクル管理エンジン | |
| Pissinou et al. | Towards a framework for integrating multilevel secure models and temporal data models | |
| Qin et al. | Policy generation for privacy protection based on granular computing | |
| JP2004259019A (ja) | スケジュール管理システム、プログラムおよび記録媒体 | |
| Khungar et al. | Context Based Storage: System for Managing Data in Ubiquitous Computing Environment |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| CX01 | Expiry of patent term | ||
| CX01 | Expiry of patent term |
Granted publication date: 20080827 |