CN101005506B - 用于信息处理的系统和方法 - Google Patents
用于信息处理的系统和方法 Download PDFInfo
- Publication number
- CN101005506B CN101005506B CN2007100023094A CN200710002309A CN101005506B CN 101005506 B CN101005506 B CN 101005506B CN 2007100023094 A CN2007100023094 A CN 2007100023094A CN 200710002309 A CN200710002309 A CN 200710002309A CN 101005506 B CN101005506 B CN 101005506B
- Authority
- CN
- China
- Prior art keywords
- user
- value
- resource
- security
- property value
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/102—Entity profiles
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/62—Protecting access to data via a platform, e.g. using keys or access control rules
- G06F21/6218—Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
Landscapes
- Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Theoretical Computer Science (AREA)
- General Engineering & Computer Science (AREA)
- Health & Medical Sciences (AREA)
- Signal Processing (AREA)
- Databases & Information Systems (AREA)
- Computer Networks & Wireless Communication (AREA)
- Bioethics (AREA)
- General Health & Medical Sciences (AREA)
- Software Systems (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Computing Systems (AREA)
- Storage Device Security (AREA)
Abstract
一种用于动态安全访问的系统和方法。动态安全系统从用户接收资源请求。动态安全系统使用用户安全公式和对应于该用户的用户属性值计算动态用户安全值。另外,动态安全系统使用资源安全公式和对应于该资源的资源属性值计算资源安全值。一旦计算之后,动态安全系统就比较动态用户安全值和资源安全值,如果动态用户安全值大于或等于资源安全值,则动态安全系统许可该用户访问资源。
Description
技术领域
本发明涉及用于动态安全访问的系统和方法。更特别地,本发明涉及这样的系统和方法,其用于动态地计算用户的动态用户安全值以及资源的资源安全值,并且根据计算值许可用户访问资源。
背景技术
计算机系统通常包括用于授权用户和许可访问资源的安全机制。在基于策略的联网中,策略是正式的一组声明,该声明定义网络的资源是如何在它的客户(用户)间分配的。网络管理者通常创建策略和策略声明,以指定资源分配,它们存储在策略库(policy repository)中。
在信息技术(IT)环境中,安全策略描述了哪些用户以及在什么条件下访问哪些资源。例如,所有雇员可以有权访问公司电话目录,而只有最高管理层有权访问薪水册。其它现有技术模型涉及:分配静态安全级别给用户和资源,以及根据静态的用户和资源级别设置安全策略。例如,公司可以根据用户的身份或部门角色分配安全级别。
现有技术也可以使用访问控制列表以许可或拒绝用户对特定资源的访问。访问控制列表通常包括为特定用户指定访问许可的“用户标识符/权利”对。当用于识别用户许可时,访问控制列表通常根据用户请求的操作给用户和/或组提供对资源的访问。例如,用户“X”可以访问资源“W”以执行功能“Z”。
但是,发现的挑战是:现有技术本质上是静态的,并且没考虑动态的用户和资源变量。例如,当正在草拟资源时很多用户可以修改该资源,但是当资源被批准之后,只有挑选的少数人可以修改该资源。另外,与从本地登录相反,当用户从远程位置登录到计算机系统时,安全漏洞的威胁可能更高。但是,现有技术许可用户相同的访问权限(privilege)而不管用户是从本地还是从远程登录。
相对现有技术发现的另一个挑战是:当用户在一定量的尝试内获得访问时,现有技术不考虑用户先前的访问历史。例如,怀有恶意的用户可以尝试多次登录,然后在最后允许的尝试中成功地登录。在该例子中,根据怀有恶意的用户用于获得访问的用户标识符,一旦登录,现有技术则允许用户访问文件,而不管该文件是否保密。
因此,所需要的是用于根据动态改变的用户和资源状况动态计算安全访问的系统和方法。
发明内容
已经披露了使用这样的系统和方法解决了上述挑战,该系统和方法用于动态地计算用户的动态用户安全值以及资源的资源安全值,并且根据计算值许可用户对资源的访问。
用户希望访问资源,如文档或数据库记录,并且发送资源请求到动态安全系统。动态安全系统接收资源请求,并且检索对应于用户的用户属性,如管理级别、工作职位、服务时间等。另外,动态安全系统识别其它用户属性,如用户的登录时间、登录位置和先前的访问历史。
动态安全系统检索包括用户属性的用户安全公式,并且根据该用户依次检索用户属性值。例如,用户安全公式可以包括用户属性(如管理属性和职位属性)。在这个例子中,动态安全系统使用用户属性识别用户的管理级别和职位,并且从查找表检索相应的用户属性值。
动态安全系统使用用户安全公式和用户属性值计算动态用户安全值。动态用户安全值是资源请求时与用户相关联的安全值,并且根据用户的属性以及用户登录会话性质(本地、远程、先前的访问历史等)改变。
对于该资源,动态安全系统计算资源安全值。为了执行计算,动态安全系统检索对应于所请求资源的资源属性,该属性可以包括资源的文档类型(程序、代码等)和文档状态(草稿、被批准等)。动态安全系统然后检索资源安全公式,并且根据该资源检索资源安全公式中使用的资源属性值。依次地,动态安全系统使用资源安全公式和所检索的资源属性值计算资源安全值。在一个实施例中,动态安全系统也使用基于资源请求类型的固定值,如用户是希望观看资源还是对资源写入。
一旦动态安全系统完成安全值计算,则动态安全系统根据动态用户安全值和资源安全值确定是否批准资源请求。这些值可以是基于数字的或宽类别的许可(如,最高、高、中等等)。
前文是概述,因此有必要包含细节的简化、概括和省略;因此,本领域的技术人员将理解到,概括只是说明性的,并且意图不在于以任何方式限制。在下面阐明的非限制性的详细说明中,如仅由权利要求定义的本发明的其它方面、创造性特征和优点将变得清楚。
附图说明
通过参考附图,可以更好地理解本发明,并且使它的许多目的、特征和优点对本领域的技术人员将显而易见。
图1是显示动态安全系统的图,该系统根据计算的动态用户安全值和资源安全值许可用户访问资源;
图2A是显示各种用户属性值的表格;
图2B是显示各种资源属性值的表格;
图3是高级别的流程图,显示了计算动态用户安全值和资源安全值以及根据动态用户安全值和资源安全值许可用户访问资源中采取的步骤;
图4是流程图,显示了使用用户安全公式和多个用户属性值计算动态用户安全值中采取的步骤;
图5是流程图,显示了使用资源安全公式和多个资源属性值计算资源安全值中采取的步骤;以及
图6是能够实现本发明的计算设备的方块图。
具体实施方式
下文旨在提供本发明的例子的详细说明,并且不应该拿来限制本发明本身。而是,任何数目的变化可能落在本发明的范围内,该范围在权利要求书中定义。
图1是显示动态安全系统的图,该系统根据计算的动态用户安全值和资源安全值许可用户访问资源。用户100使用客户端110通过计算机网络125如因特网,发送请求120到动态安全系统130。请求120对应于用户100希望访问的资源,如文档或数据库记录。
动态安全系统130接收请求120,并且从用户属性存储体150检索对应于用户100的用户属性140,如管理级别、工作职位、服务时间等。另外,动态安全系统130识别其它用户属性,如用户100的登录时间、登录位置(如本地或远程)以及先前的访问历史。
动态安全系统130从值存储体160检索包括用户属性的用户安全公式。动态安全系统130识别用户属性,并且根据用户属性140检索相关联的用户属性值。例如,用户安全公式可以包括用户属性如管理属性和职位属性。在该例子中,动态安全系统130使用用户属性140识别用户100的管理级别和职位,并且从位于值存储体160中的查找表检索相应的用户属性值(对关于用户属性值查找表特性的进一步的细节,见图2A和相应的文字)。
动态安全系统130使用用户安全公式和用户属性值计算动态用户安全值。动态用户安全值是在请求120时用于用户100的安全“值”,并且根据用户100的属性以及用户100在何时和何地登录而变化(对关于动态用户安全值计算的进一步的细节,见图4和相应的文字)。
为了计算用于请求的资源的资源安全值,动态安全系统130从资源存储体170检索资源属性165。资源属性165对应于请求的资源,并且可以包括资源的文档类型(程序、代码等)和文档状态(草稿、被批准等)。请求120也可以与硬件资源相关联,如访问路由器以配置该路由器。
动态安全系统130然后从值存储体160检索资源安全公式,并且根据资源属性165检索资源属性值用于资源安全公式。而动态安全系统130又使用资源安全公式和检索的资源属性值依次计算资源安全值(对关于资源安全值计算的进一步的细节,见图5和相应的文字)。在一个实施例中,动态安全系统130使用基于请求120的类型(如用户100是希望看资源还是对资源写)的固定值。
一旦动态安全系统130完成安全值计算,动态安全系统130就根据动态用户安全值和资源安全值的值,确定是否对请求120授权。例如,如果用户100的动态用户安全值是“18”,并且资源的资源安全值是“25”,则动态安全系统130不授权用户100访问该资源。另一方面,如果用户100的动态用户安全值是“18”,并且资源的资源安全值是“8”,则动态安全系统130从资源存储体170检索资源(资源180),并且提供资源180给用户100。
在一个实施例中,动态用户安全值和资源安全值计算可以基于策略声明的布尔(Boolean)集合。例如,如果用户=Bill,位置=Austin,时间=天,操作=低或正常,则设置动态用户安全值为“高”。在这个例子中,如果管理员决定采取超保守主义,则从这些值的任何改变可以使用户的动态用户安全值下降到“任何人”,使得用户“Bill”只能得到可公开访问的文件。在这个使用布尔策略的实施例中,很多这样的策略将是很可能的。另外,如果需要改变,则可以使用通配符(如区域或组成员资格)减少策略的数目,这有助于策略管理。
图2A是显示各种用户属性和相应值的表格。管理员产生包括用户属性的用户属性公式,以便计算动态用户安全值。用户属性的值(如用户属性值)依赖于用户请求访问。
表200包括用户属性值的列表。列205包括用户属性的列表,并且列210包括相应的用户属性值的列表。行212-216包括对应于用户的管理级别的管理属性值。例如,行214显示:如果用户是第一线经理,则用户安全公式使用用户属性值“1”。行218-222包括对应于用户的职位的职位属性值。例如,行222显示:如果用户处于支持职位,则用户安全公式使用用户属性值“2”。
行224-226包括对应于用户的登录位置(内部或外部)的登录位置属性值。行228-232包括对应于用户的连接(telnet,SSH,或终端)的质量的登录质量属性值。行234-240包括部门属性值,该部门属性值对应于相对于请求的资源的用户部门(外单位、同一公司、同一部门、同一组)。行242-246包括对应于用户登录的时间(假日、业余时间、工作时间)的登录时间属性值。
行248-250包括对应于先前登录尝试(用户的先前访问历史)的先前差错属性值。而行252包括对应于用户的经验级别的段(band)属性值,如“5”用于服务五年。动态安全系统分析用户属性,检索相应的用户属性值,并且使用用户安全公式计算动态用户安全值(对进一步的细节,见图4和相应的文字)。
图2B是显示各种资源属性值的表格。管理员产生包括资源属性的资源属性公式,以便计算资源安全值。资源属性的值(如资源属性值)依赖于各种因素,如资源的文档类型和文档状态。
表260包括资源属性值的列表。列265包括资源属性的列表,而列270包括相应的资源属性值的列表。行272-276包括对应于请求的资源的文档类型属性值。例如,行274显示:如果资源文档类型是代码,则资源安全公式使用资源属性值“5”。行278-284包括对应于请求的资源的文档状态属性值。例如,行282显示:如果资源文档状态是被批准,则资源安全公式使用资源属性值“5”。
行286-290包括访问类型固定值,其可被管理员用于资源安全值,代替使用公式计算资源安全值。例如,如果资源请求属于注释插入,则行288显示资源安全值是“10”,因此要求用户具有大于“10”的动态用户安全值,以便插入注释到资源中(对进一步的细节,见图5和相应的文字)。
图3是高级别的流程图,显示了计算动态用户安全值和资源安全值以及根据安全值许可用户访问资源中采取的步骤。处理在300开始,据此处理在步骤310从用户100接收资源请求。用户100与图1中显示的相同,并且正在请求访问特定资源,如数据库。
处理从用户属性存储体150检索对应于用户100的用户属性,以及从值存储体160检索用户安全公式,以便计算动态用户安全值。例如,用户100可以是正在远程登录的第一线经理,该用户在被分配给请求的资源的相同的部门中。在这个例子中,用户安全公式使用用于用户100的情形的属性值计算动态用户安全值。作为结果的动态用户安全值在暂时存储器330中存储(预定义的过程块320,对进一步的细节见图4和相应的文字)。用户属性存储体150和值存储体160与图1中显示的相同。暂时存储器330可以在非易失存储区域如计算机硬盘驱动器上存储。
然后处理从资源存储体170检索对应于请求的资源的资源属性,以及从值存储体160检索资源安全公式以计算资源安全值。例如,资源可以是处于草稿模式中的软件代码,并且在这个例子中资源安全公式检索软件代码属性值和草稿模式属性值以计算资源安全值。作为结果的资源安全值在暂时存储器330中存储(预定义的过程块340,对进一步的细节见图5和相应的文字)。资源存储体170与图1中显示的相同。
在步骤350,处理从暂时存储器330检索动态用户安全值和资源安全值。根据动态用户安全值和资源安全值对是否授权资源请求做出确定(判定360)。例如,当动态用户安全值大于或等于资源安全值时,处理可以许可资源请求,而当动态用户安全值小于资源安全值时,拒绝资源请求。
如果动态用户安全值大于或等于资源安全值,则判定360分支到“是”分支368,据此处理在步骤380对资源请求授权。另一方面,如果动态用户安全值小于资源安全值,则判定360分支到“否”分支362,据此处理在步骤370拒绝用户100的资源请求。处理在390结束。
图4是流程图,显示了使用用户安全公式和多个用户属性值计算动态用户安全值中采取的步骤。
处理在400开始,据此处理在步骤410从用户属性存储体150检索用户属性。用户属性对应于正在请求访问特定资源的用户,如用户的部门和用户的职位(对关于用户属性的进一步的细节,见图2A和相应的文字)。用户属性存储体150与图1中显示的相同。
在步骤420,处理从值存储体160检索用户安全公式。管理员产生和管理产生动态用户安全值的用户安全公式。例如,用户安全公式可以是:
DUSV=MAV+PAV+LLAV+LQAV+DAV+LTAV+BAV+EAV
其中
DUSV=动态用户安全值
MAV=管理属性值
PAV=职位属性值
LLAV=登录位置属性值
LQAV=登录质量属性值
DAV=部门属性值
LTAV=登录时间属性值
BAV=段属性值
EAV=差错属性值
在上面的例子中,同等对待每个用户属性。在一个实施例中,用户安全公式可以包括与用户属性相关联的用户权重。可以根据用户的特定“请求条件”(如请求的用户状态、用户的组成员资格、日历时间(time-of-day)和用户的位置)来调整用户权重。在另一个实施例中,处理可以根据上面提到的请求条件从多个用户安全公式选择特定的用户安全公式。
在另一个实施例中,系统管理员可能希望施加更多的权重到用户的登录位置,因为公司正接收来自公司外部人员对访问资源的怀有恶意的尝试。在该实施例中,管理员可以改变用户安全公式为:
DUSV=MAV+PAV+5*LLAV+LQAV+5*DAV+LTAV+BAV+EAV
在该例子中,管理员也调整资源安全公式,从而为资源,尤其是敏感文档产生更高的资源安全值(对关于资源安全公式的进一步细节,见图5和相应的文字)。如此,上面公式中着重加权的变量变为用于获得访问资源的重要因素。值存储体160与图1中显示的相同。
在步骤430,处理从值存储体160检索对应于第一个用户属性的用户属性值,该用户属性包括在用户安全公式中。使用上述例子,处理检索对应于用户的管理属性值(MAV)。例如,用户检索的属性之一可以是用户的管理级别(ranking),该管理级别是“第一线”经理。在这个例子中,处理检索与第一线管理级别相关联的值(对关于用户属性值进一步的细节,见图2A和相应的文字)。在步骤440,处理在暂时存储器330中存储检索的用户属性值。暂时存储器330与图3中显示的相同。
作出关于用户安全公式是否需要更多的用户属性值的确定,以便计算动态用户安全值(判定450)。如果用户安全公式需要更多的用户属性值,则判定450分支到“是”分支452,据此处理循环回来,以从值存储体160检索下一个对应于该用户的用户属性值(步骤460),并且在暂时存储器330中存储检索的值(步骤440)。该环路继续直到没有更多的用户属性值为用户安全公式检索,在该点判定450分支到“否”分支458。
在步骤470,处理检索存储的用户属性值,并在步骤480,处理通过包括用户属性值到用户安全公式中计算动态用户安全值。例如,使用用户属性值:MAV=1,PAV=2,LLAV=0,LQAV=2,DAV=3,LTAV=2,BAV=2,EAV=1,并使用上面讨论的第一个例子中的公式,可以计算动态用户安全值如下:
DUSV=MAV+PAV+LLAV+LQAV+DAV+LTAV+BAV+EAV
DUSV=1+2+0+2+3+2+2+1=13
在步骤490,处理在暂时存储器330中存储计算的动态用户安全值,并且在495返回。
图5是流程图,显示了使用资源安全公式和多个资源属性值计算资源安全值中采取的步骤。
处理在500开始,据此处理在步骤505从资源存储体170检索资源属性。该资源属性对应于请求的资源,如资源的文档状态(如草稿、被批准的草稿等)。(对关于资源属性进一步的细节,见图2B和相应的文字)。资源存储体170与图1中显示的相同。
在步骤510,处理从值存储体160检索资源安全公式。管理员产生和管理用于产生资源安全值的资源安全公式。例如,资源安全公式可以是:
DRSV=DTAV+DSAV
其中
DRSV=资源安全值
DTAV=文档类型属性值
DSAV=文档状态属性值
在上面的例子中,同等对待每个资源属性。在一个实施例中,资源安全公式基于计算机网络的环境状况。例如,如果计算机网络处于怀有恶意的攻击之下,则处理可以选择更严格的资源安全公式或调整资源安全公式中的变量,以便增大资源安全值。
在另一个实施例中,系统管理员可能希望对特定访问请求使用访问类型固定值,如
DRSV=5用于读访问请求
DRSV=10用于注释插入访问请求
DRSV=15用于写访问请求
在上面的例子中,管理员只需要改变资源安全公式或访问类型固定值,以提高资源安全级别,并且不需要改变每个资源的安全访问要求。
关于资源安全公式是固定值还是需要计算做出确定(判定520)。例如,管理员可以设置指示处理使用固定值还是公式的标志。如果处理应该使用固定值,则判定520分支到“否”分支522,据此处理识别对应于资源请求的操作,如读请求或写请求(步骤525)。在步骤530,处理从值存储体160检索对应于识别的操作的值并且在暂时存储器330中存储该值。这个固定值变为资源安全值。暂时存储器330与图3中显示的相同。处理在535返回。
另一方面,如果处理应该计算资源安全值,则判定520分支到“是”分支528,据此处理从值存储体160检索包括在资源安全公式中的对应于第一个资源属性的资源属性值(步骤540)。使用上述的例子,处理检索对应于请求的资源的文档类型属性值(DTAV)。在步骤550,处理在暂时存储器330中存储检索的资源属性值。
做出关于资源安全公式是否需要更多的资源属性值的确定,以便计算资源安全值(判定560)。如果资源安全公式需要更多的资源属性值,则判定560分支到“是”分支562,据此处理循环回来,以从值存储体160检索下一个对应于请求的资源的资源属性值(步骤565),并且在暂时存储器330中存储检索的值(步骤550)。该循环继续直到没有更多的资源属性值为资源安全公式检索,在该点判定560分支到“否”分支568。
在步骤570,处理检索存储的资源属性值,并且在步骤580处理使用资源属性值和资源安全公式计算资源安全值。例如,使用资源属性值:DATV=5以及DSAV=2,并且使用上面讨论的公式,可以计算资源安全值如下:
DRSV=DTAV+DSAV
DRSV=5+2=7
在步骤590,处理在暂时存储器330中存储计算的资源安全值,并且在595返回。
图6图示了信息处理系统601,该系统是能够执行在此描述的计算操作的计算机系统的简化的例子。计算机系统601包括耦合到主机总线602的处理器600。二级(L2)高速缓冲存储器604也耦合到主机总线602。主机到PCI桥606耦合到主存储器608,包括高速缓冲存储器和主存储器控制功能,并且提供总线控制,以处理在PCI总线610、处理器600、L2高速缓冲存储器604、主存储器608和主机总线602之间的传递。主存储器608耦合到主机到PCI桥606以及主机总线602。只由主机处理器600使用的设备,如LAN卡630,耦合到PCI总线610。服务处理器接口和ISA访问通道(pass-through)612提供PCI总线610和PCI总线614之间的接口。PCI总线614以这种方式与PCI总线610隔离。设备(如快闪存储器618)耦合到PCI总线614。在一个实现中,快闪存储器618包括BIOS代码,该代码合并了用于各种低级别系统功能和系统引导功能的必要的处理器可执行代码。
PCI总线614为各种由主机处理器600和服务处理器616共享的设备(包括例如快闪存储器618)提供接口。PCI到ISA桥635提供总线控制,以处理PCI总线614和ISA总线640、通用串行总线(USB)功能645、电源管理功能655之间的传递,并且可以包括其它未显示的功能元件,如实时时钟(RTC)、DMA控制、中断支持和系统管理总线支持。非易失RAM 620被附接到ISA总线640。服务处理器616包括用于在初始化步骤期间与处理器600通信的JTAG和I2C总线622。JTAG/I2C总线622也耦合到L2高速缓冲存储器604、主机到PCI桥606和主存储器608,提供处理器、服务处理器、L2高速缓冲存储器、主机到PCI桥和主存储器之间的通信路径。为了给信息处理设备601断电,服务处理器616也有权访问系统电源资源。
外围设备和输入/输出(I/O)设备可以附接到各种接口(如耦合到ISA总线640的并行接口662、串行接口664、键盘接口668和鼠标接口670)。或者,很多I/O设备可以被附接到ISA总线640的超I/O控制器(未显示)容纳。
为了附接计算机系统601到另一个计算机系统以在网络上复制文件,LAN卡630耦合到PCI总线610。类似地,为使用电话线连接来连接计算机系统601到ISP,以便连接到因特网,调制解调器665连接到串口664和PCI到ISA桥635。
虽然图6显示了使用处理器600的一个信息处理系统,但是该信息处理系统可以采取很多形式。例如,信息处理系统601可以采取桌上型计算机、服务器、便携式、膝上型、笔记本或其它形式要素的计算机或数据处理系统。信息处理系统601也可以采取其它形式因素,如个人数字助理(PDA)、游戏设备、ATM机、便携电话设备、通信设备或其它包括处理器和存储器的设备。
本发明的优选实现之一是客户端应用,即代码模块中的一组指令(程序代码),它们可以例如驻留在计算机的随机访问存储器中。直到该计算机要求,该组指令可以存储在另一个计算机存储器中,例如在硬盘驱动器中,或者在可移除存储器如光盘(为了最终用于CD ROM中)或软盘(为了最终用于软盘驱动器中)中,或者通过因特网或其它计算机网络下载。因此,本发明可以作为计算机中使用的计算机程序产品实现。另外,虽然说明的各种方法在由软件选择性地激活或重新配置的通用计算机中方便地实现,但是本领域的普通技术人员也将认识到:这样的方法可以在硬件、固件或更特殊的装置中执行,构造它们以执行所要求的方法步骤。
虽然已经显示和说明本发明的特定实施例,但对本领域的技术人员显然的是:根据这里的教导,可以进行改变和修改,而不背离本发明及其更广的方面。因此,权利要求要包含所有这样的改变和修改在它们的范围内,如在本发明的真正的精神和范围内。此外,要理解的是本发明只由权利要求定义。本领域的技术人员将理解到,如果意图是特定数目的引入的权利要求要素,则这样的意图将在权利要求中明确地叙述,并且在没有这样的叙述时,不存在这样的限制。对非限制性的例子,为了有助于理解,权利要求书包含使用引导词组“至少一个”和“一个或更多”以引入权利要求的各要素。但是,使用这样的词组不应该理解为暗示:由不定冠词“a”或“an”(一/一个)引入权利要求要素,限制包含这样的引入的权利要求要素的任何特定权利要求为只包含一个这样的要素的发明,即使在相同的权利要求包括引导词组“一个或更多”或“至少一个”和不定冠词如“a”或“an”时;对于定冠词在权利要求中的使用,同样适用。
Claims (15)
1.一种信息处理方法,包含:
从用户接收资源请求,资源请求对应于资源;
计算对应于用户的动态用户安全值;
计算对应于资源的资源安全值;
根据动态用户安全值和资源安全值确定是否许可用户访问资源;以及
许可用户访问资源以响应该确定。
2.根据权利要求1所述的方法,其中计算动态用户安全值还包含:
检索与用户相关联的多个用户属性值;
检索用户安全公式;以及
使用该多个用户属性值和用户安全公式计算动态用户安全值。
3.根据权利要求2所述的方法,其中从管理属性值、职位属性值、登录位置属性值、登录类型属性值、部门属性值、登录时间属性值和先前差错属性值构成的组选择该多个用户属性值中的至少一个。
4.根据权利要求2所述的方法,还包含:
根据用户的登录时间检索登录时间属性值;
检索对应于用户的登录位置的登录位置属性值;
识别对应于用户的先前登录尝试的先前差错属性值;
检索对应于用户的部门的部门属性值;以及
使用登录时间属性值、登录位置属性值、先前差错属性值和部门属性值,用于计算动态用户安全值。
5.根据权利要求2所述的方法,还包含:
从多个用户安全公式选择用户安全公式,该选择基于至少一个请求条件,该条件从用户状态、组成员资格、日历时间和用户位置构成的组选择。
6.根据权利要求2所述的方法,其中用户安全公式包括一个或更多用户权重,该权重基于至少一个请求条件调整,该条件从用户状态、组成员资格、日历时间和用户位置构成的组选择。
7.根据权利要求1所述的方法,其中计算资源安全值还包含:
检索与资源相关联的多个资源属性值;
检索资源安全公式;以及
使用该多个资源属性值与用于计算资源安全值的资源安全公式。
8.根据权利要求7所述的方法,其中从文档类型属性值、文档状态属性值和访问类型属性值构成的组选择该多个资源属性值中的至少一个。
9.根据权利要求7所述的方法,其中资源安全公式基于一个或更多网络环境条件。
10.根据权利要求1所述的方法,其中资源安全值是与资源请求相关联的访问类型固定值。
11.一种信息处理系统,包含:
用于从用户接收资源请求,资源请求对应于资源的装置;
用于计算对应于用户的动态用户安全值的装置;
用于计算对应于资源的资源安全值的装置;
用于根据动态用户安全值和资源安全值确定是否许可用户访问资源的装置;以及
用于许可用户访问资源以响应该确定的装置。
12.根据权利要求11所述的信息处理系统,还包含:
用于从与用户相关联的非易失存储设备之一检索多个用户属性值的装置;
用于从非易失存储设备之一检索用户安全公式的装置;以及
用于使用该多个用户属性值和用户安全公式计算动态用户安全值的装置。
13.根据权利要求12所述的信息处理系统,其中从管理属性值、职位属性值、登录位置属性值、登录类型属性值、部门属性值、登录时间属性值和先前差错属性值构成的组选择该多个用户属性值中的至少一个。
14.根据权利要求12所述的信息处理系统,还包含:
用于根据用户的登录时间从非易失存储设备之一检索登录时间属性值的装置;
用于从非易失存储设备之一检索对应于用户的登录位置的登录位置属性值的装置;
用于识别对应于用户的先前登录尝试的先前差错属性值的装置;
用于从非易失存储设备之一检索对应于用户的部门的部门属性值的装置;以及
用于使用登录时间属性值、登录位置属性值、先前差错属性值和部门属性值,用于计算动态用户安全值的装置。
15.根据权利要求11所述的信息处理系统,还包含:
用于从非易失存储设备之一检索与资源相关联的多个资源属性值的装置;
用于从非易失存储设备之一检索资源安全公式的装置;以及
用于使用该多个资源属性值与用于计算资源安全值的资源安全公式的装置。
Applications Claiming Priority (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US11/333,438 US20070169204A1 (en) | 2006-01-17 | 2006-01-17 | System and method for dynamic security access |
| US11/333,438 | 2006-01-17 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN101005506A CN101005506A (zh) | 2007-07-25 |
| CN101005506B true CN101005506B (zh) | 2011-06-29 |
Family
ID=38264959
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN2007100023094A Expired - Fee Related CN101005506B (zh) | 2006-01-17 | 2007-01-11 | 用于信息处理的系统和方法 |
Country Status (2)
| Country | Link |
|---|---|
| US (2) | US20070169204A1 (zh) |
| CN (1) | CN101005506B (zh) |
Families Citing this family (27)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2009080674A (ja) * | 2007-09-26 | 2009-04-16 | Hitachi Ltd | 制御装置、アクセス制御方法、及びストレージノード |
| US8166067B2 (en) * | 2008-12-26 | 2012-04-24 | Sandisk Il Ltd. | Method and apparatus for providing access to files based on user identity |
| US20100169395A1 (en) * | 2008-12-26 | 2010-07-01 | Sandisk Il Ltd. | Device and method for filtering a file system |
| US8943409B2 (en) * | 2008-12-26 | 2015-01-27 | Sandisk Il Ltd. | Storage device managing playable content |
| US8239395B2 (en) * | 2008-12-26 | 2012-08-07 | Sandisk Il Ltd. | Storage device presenting to hosts only files compatible with a defined host capability |
| JP2011138340A (ja) * | 2009-12-28 | 2011-07-14 | Canon Inc | サーバ装置、サーバ装置のログ監査方法およびプログラム |
| US9729930B2 (en) | 2010-01-05 | 2017-08-08 | CSC Holdings, LLC | Enhanced subscriber authentication using location tracking |
| FR2965081B1 (fr) * | 2010-09-16 | 2014-08-08 | Gerwin | Procede et systeme de qualification d'un element |
| JP5776927B2 (ja) * | 2011-03-28 | 2015-09-09 | ソニー株式会社 | 情報処理装置及び方法、並びにプログラム |
| US9003502B2 (en) * | 2012-03-19 | 2015-04-07 | Empire Technology Development Llc | Hybrid multi-tenancy cloud platform |
| US9390288B2 (en) | 2013-11-01 | 2016-07-12 | Intuit Inc. | Method and system for validating a virtual asset |
| US9691044B2 (en) * | 2013-11-05 | 2017-06-27 | Bank Of America Corporation | Application shell login role based access control |
| US9418236B2 (en) * | 2013-11-13 | 2016-08-16 | Intuit Inc. | Method and system for dynamically and automatically managing resource access permissions |
| US20150304343A1 (en) | 2014-04-18 | 2015-10-22 | Intuit Inc. | Method and system for providing self-monitoring, self-reporting, and self-repairing virtual assets in a cloud computing environment |
| US10121007B2 (en) | 2014-02-21 | 2018-11-06 | Intuit Inc. | Method and system for providing a robust and efficient virtual asset vulnerability management and verification service |
| US10757133B2 (en) | 2014-02-21 | 2020-08-25 | Intuit Inc. | Method and system for creating and deploying virtual assets |
| US9298927B2 (en) | 2014-02-27 | 2016-03-29 | Intuit Inc. | Method and system for providing an efficient vulnerability management and verification service |
| US11294700B2 (en) | 2014-04-18 | 2022-04-05 | Intuit Inc. | Method and system for enabling self-monitoring virtual assets to correlate external events with characteristic patterns associated with the virtual assets |
| US9516044B2 (en) | 2014-07-31 | 2016-12-06 | Intuit Inc. | Method and system for correlating self-reporting virtual asset data with external events to generate an external event identification database |
| US9330263B2 (en) | 2014-05-27 | 2016-05-03 | Intuit Inc. | Method and apparatus for automating the building of threat models for the public cloud |
| US10102082B2 (en) | 2014-07-31 | 2018-10-16 | Intuit Inc. | Method and system for providing automated self-healing virtual assets |
| US10291646B2 (en) | 2016-10-03 | 2019-05-14 | Telepathy Labs, Inc. | System and method for audio fingerprinting for attack detection |
| JP6977664B2 (ja) * | 2018-05-30 | 2021-12-08 | 日本電信電話株式会社 | 管理装置、管理方法及び管理プログラム |
| AU2020344502A1 (en) * | 2019-09-13 | 2022-03-10 | Equifax Inc. | Secure resource management to prevent resource abuse |
| CN113486311B (zh) * | 2021-07-22 | 2023-06-02 | 中国联合网络通信集团有限公司 | 访问授权方法及装置 |
| CN115277155A (zh) * | 2022-07-22 | 2022-11-01 | 中国银行股份有限公司 | 一种涉密文件访问方法及装置 |
| CN117040935B (zh) * | 2023-10-10 | 2024-01-23 | 睿至科技集团有限公司 | 一种基于云计算的节点数据安全传输方法及系统 |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US5414844A (en) * | 1990-05-24 | 1995-05-09 | International Business Machines Corporation | Method and system for controlling public access to a plurality of data objects within a data processing system |
| US20020138738A1 (en) * | 2001-03-20 | 2002-09-26 | Sames David L. | Method and apparatus for securely and dynamically managing user attributes in a distributed system |
Family Cites Families (15)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US5625751A (en) * | 1994-08-30 | 1997-04-29 | Electric Power Research Institute | Neural network for contingency ranking dynamic security indices for use under fault conditions in a power distribution system |
| JP2977476B2 (ja) * | 1995-11-29 | 1999-11-15 | 株式会社日立製作所 | 機密保護方法 |
| US5893116A (en) * | 1996-09-30 | 1999-04-06 | Novell, Inc. | Accessing network resources using network resource replicator and captured login script for use when the computer is disconnected from the network |
| US6000032A (en) * | 1997-07-15 | 1999-12-07 | Symantec Corporation | Secure access to software modules |
| US6772350B1 (en) * | 1998-05-15 | 2004-08-03 | E.Piphany, Inc. | System and method for controlling access to resources in a distributed environment |
| US6405318B1 (en) * | 1999-03-12 | 2002-06-11 | Psionic Software, Inc. | Intrusion detection system |
| US6687823B1 (en) * | 1999-05-05 | 2004-02-03 | Sun Microsystems, Inc. | Cryptographic authorization with prioritized and weighted authentication |
| WO2002013065A1 (en) * | 2000-08-03 | 2002-02-14 | Epstein Bruce A | Information collaboration and reliability assessment |
| US20030065942A1 (en) * | 2001-09-28 | 2003-04-03 | Lineman David J. | Method and apparatus for actively managing security policies for users and computers in a network |
| US7383570B2 (en) * | 2002-04-25 | 2008-06-03 | Intertrust Technologies, Corp. | Secure authentication systems and methods |
| US7069438B2 (en) * | 2002-08-19 | 2006-06-27 | Sowl Associates, Inc. | Establishing authenticated network connections |
| EP1817862A4 (en) * | 2004-11-29 | 2014-03-19 | Signacert Inc | METHODS FOR ACCESS CONTROL BETWEEN NETWORK POINTS BASED ON INFORMATION TRANSACTIONS CALCULATED ACCORDING TO INFORMATION SYSTEM COMPONENT ANALYZES |
| US7278163B2 (en) * | 2005-02-22 | 2007-10-02 | Mcafee, Inc. | Security risk analysis system and method |
| WO2006118968A2 (en) * | 2005-04-29 | 2006-11-09 | Bharosa Inc. | System and method for fraud monitoring, detection, and tiered user authentication |
| US7631362B2 (en) * | 2005-09-20 | 2009-12-08 | International Business Machines Corporation | Method and system for adaptive identity analysis, behavioral comparison, compliance, and application protection using usage information |
-
2006
- 2006-01-17 US US11/333,438 patent/US20070169204A1/en not_active Abandoned
-
2007
- 2007-01-11 CN CN2007100023094A patent/CN101005506B/zh not_active Expired - Fee Related
-
2008
- 2008-03-15 US US12/049,303 patent/US20080163339A1/en not_active Abandoned
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US5414844A (en) * | 1990-05-24 | 1995-05-09 | International Business Machines Corporation | Method and system for controlling public access to a plurality of data objects within a data processing system |
| US20020138738A1 (en) * | 2001-03-20 | 2002-09-26 | Sames David L. | Method and apparatus for securely and dynamically managing user attributes in a distributed system |
Also Published As
| Publication number | Publication date |
|---|---|
| US20080163339A1 (en) | 2008-07-03 |
| CN101005506A (zh) | 2007-07-25 |
| US20070169204A1 (en) | 2007-07-19 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN101005506B (zh) | 用于信息处理的系统和方法 | |
| KR102430649B1 (ko) | 익명화를 위해 속성들을 자동으로 식별하기 위한 컴퓨터 구현 시스템 및 방법 | |
| US11196746B2 (en) | Whitelisting of trusted accessors to restricted web pages | |
| CN102332072B (zh) | 用于检测恶意软件和管理恶意软件相关信息的系统和方法 | |
| CN101894225B (zh) | 聚集反病毒软件应用程序的知识库的系统和方法 | |
| CN109670768A (zh) | 多业务域的权限管理方法、装置、平台及可读存储介质 | |
| US20100100967A1 (en) | Secure collaborative environment | |
| US8107100B2 (en) | Post deployment electronic document management and security solution | |
| WO2008087085A2 (en) | Administering access permissions for computer resources | |
| JPH0793263A (ja) | 分布データ処理装置内の複数の資源オブジェクトに対して可変権限レベルユーザアクセス管理を行う方法 | |
| WO2007105098A2 (en) | System and method for providing hiearchical role-based access control | |
| AU2014208184A1 (en) | Systems and methodologies for managing document access permissions | |
| US20220147639A1 (en) | Systems and methods for evaluating security of third-party applications | |
| CN105531977B (zh) | 用于同步和远程数据访问的移动设备连接控制的方法和系统 | |
| CN110348238B (zh) | 一种面向应用的隐私保护分级方法及装置 | |
| AU2005201002B2 (en) | Method and system for displaying and managing security information | |
| CN109587151A (zh) | 访问控制方法、装置、设备及计算机可读存储介质 | |
| US9516031B2 (en) | Assignment of security contexts to define access permissions for file system objects | |
| JP2023549723A (ja) | 動的ハニーポットデータベース応答生成による標的型のデータベース攻撃への防御 | |
| US11507675B2 (en) | System, method, and apparatus for enhanced whitelisting | |
| US20240283819A1 (en) | Systems and methods for detecting changes in data access pattern of third-party applications | |
| US20220366058A1 (en) | Systems and methods for evaluating data access signature of third-party applications | |
| CN113591068A (zh) | 一种在线登录设备管理方法、装置及电子设备 | |
| Burns | Threat modeling: A process to ensure application security | |
| CN111008873A (zh) | 一种用户确定方法、装置、电子设备及存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| TR01 | Transfer of patent right | ||
| TR01 | Transfer of patent right |
Effective date of registration: 20180628 Address after: 7 floor, building 10, Zhang Jiang Innovation Park, 399 Keyuan Road, Zhang Jiang high tech park, Pudong New Area, Shanghai. Patentee after: International Business Machines (China) Co., Ltd. Address before: New York grams of Armand Patentee before: International Business Machines Corp. |
|
| CF01 | Termination of patent right due to non-payment of annual fee | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20110629 Termination date: 20190111 |