CN101571858B - 多个对象的安全性设定及检查的方法和装置 - Google Patents

多个对象的安全性设定及检查的方法和装置 Download PDF

Info

Publication number
CN101571858B
CN101571858B CN2008100912721A CN200810091272A CN101571858B CN 101571858 B CN101571858 B CN 101571858B CN 2008100912721 A CN2008100912721 A CN 2008100912721A CN 200810091272 A CN200810091272 A CN 200810091272A CN 101571858 B CN101571858 B CN 101571858B
Authority
CN
China
Prior art keywords
user
security
objects
security settings
type
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
CN2008100912721A
Other languages
English (en)
Other versions
CN101571858A (zh
Inventor
郎昕培
张春林
I·A·王
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
International Business Machines Corp
Original Assignee
International Business Machines Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by International Business Machines Corp filed Critical International Business Machines Corp
Priority to CN2008100912721A priority Critical patent/CN101571858B/zh
Publication of CN101571858A publication Critical patent/CN101571858A/zh
Application granted granted Critical
Publication of CN101571858B publication Critical patent/CN101571858B/zh
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Landscapes

  • Storage Device Security (AREA)

Abstract

多个对象的安全性设定及检查的方法和装置,其中为多个对象设定安全性的方法包括:为多个对象中的至少一个对象设定至少一个安全规则,所述至少一个安全规则与至少一个用户权限关联;以及识别上述多个对象中的至少一个对象的安全设定类型,其中上述安全设定类型对应于为一个对象设定的全部安全规则的集合,不同安全规则的集合对应不同的安全设定类型。进一步地,该安全性设定方法还包括:根据所述每个安全设定类型对应的安全规则集合与至少一个用户权限的关联关系,建立该至少一个用户与安全设定类型之间的关联列表,并将该列表缓存。还提供了检查用户对多个对象中至少一个对象的安全性的方法,所述方法包括:根据每个安全设定类型对应的安全规则集合与至少一个用户权限的关联关系,建立该至少一个用户与安全设定类型之间的关联列表;以及根据该关联列表,检查用户相对于所述多个对象中的至少一个对象的安全性。还提供了用于上述安全性设定和检查方法的装置。

Description

多个对象的安全性设定及检查的方法和装置
技术领域
本发明涉及计算机信息管理技术,更具体地,涉及对象的安全性设定及检查技术。
背景技术
在数据库、信息库、邮件管理系统、文件管理系统等信息管理系统中通常具有多个管理对象,这些对象上通常被设定有各种重要的特性,例如安全性设定。具有树形结构的对象是管理系统中最常见的方式。对于树形结构对象来说,可以仅仅对高级(树根或树干)对象设定安全性特性,使得其他对象通过继承而具有相同的安全性设定。因此,树形结构管理对象可以通过管理员直接设定或者从上级对象继承而具有特定的安全性设定。这样的树形结构及其继承机制对于管理员管理大量对象并对其进行安全性控制是非常有利的。
在对多个对象进行安全性管理的时候,通常先定义多种安全规则或安全规则组合,然后根据需要将其分配给待管理的对象。安全规则中可以包含与用户权限相关的信息。这样,管理对象通过管理员分配或递归继承,具有了特定的安全规则设定,通常每个对象上被设定有多条安全规则。当特定用户请求进行特定类型的访问或操作时,需要为该用户进行安全性核查。这时,通常是取出每个对象上的安全规则设定,逐一核查分析其中包含的每个安全规则条目,根据这些安全规则的细节来为当前用户进行每个对象的安全性核查。
当安全性设定变得有些复杂,或者管理对象的数目变得众多时,上述方法的运算量相应地有显著增加,需要消耗大量时间和资源,带来了执行上的问题。另一方面,安全设定和检查是许多领域中不可或缺的基本要求,不可能通过牺牲系统的安全性跳过安全检查来提高系统的性能。因此,需要一种性能更为优越的执行方法来对多个对象进行安全管理,具体地,为多个对象设定安全规则,并核查对象的安全性设定。
发明内容
基于上述问题和目的,本发明提供了安全性设定及检查的方法和装置。
根据本发明第一方面,提供一种为多个对象设定安全性的方法,包括:为上述多个对象中的至少一个对象设定至少一个安全规则,所述至少一个安全规则与至少一个用户权限关联;以及识别上述多个对象中的至少一个对象的安全设定类型,其中上述安全设定类型对应于为一个对象设定的全部安全规则的集合,不同安全规则的集合对应不同的安全设定类型。
进一步地,所述为多个对象设定安全性的方法还包括:根据所述每个安全设定类型对应的安全规则集合与至少一个用户权限的关联关系,建立该至少一个用户与安全设定类型之间的关联列表,并将该列表缓存。
根据本发明第二方面,提供一种检查用户对多个对象中至少一个对象的安全性的方法,其中所述多个对象中的至少一个被设定至少一个安全规则,所述至少一个安全规则与至少一个用户权限关联,其中上述多个对象中的至少一个中的每一个对象的全部安全规则的集合与一个安全设定类型相对应,不同安全规则的集合对应不同的安全设定类型,所述方法包括:根据所述每个安全设定类型对应的安全规则集合与至少一个用户权限的关联关系,建立该至少一个用户与安全设定类型之间的关联列表;以及根据所述关联列表,检查上述用户相对于所述多个对象中的至少一个对象的安全性。
根据本发明第三方面,提供一种为多个对象设定安全性的装置,所述装置包括:安全规则设定单元,用于为所述多个对象中至少一个对象设定至少一个安全规则,所述至少一个安全规则与至少一个用户权限关联;以及安全设定类型识别单元,用于识别上述多个对象中的至少一个对象的安全设定类型,其中上述安全设定类型对应于为一个对象设定的全部安全规则的集合,不同安全规则的集合对应不同的安全设定类型。
进一步地,所述为多个对象设定安全性的装置还包括关联列表生成单元,用于根据每个安全设定类型对应的安全规则集合与至少一个用户权限的关联关系,建立该至少一个用户与安全设定类型之间的关联列表,并将该列表缓存。
根据本发明第四方面,提供一种用于检查用户对多个对象中至少一个对象的安全性的装置,其中所述多个对象中的至少一个被设定至少一个安全规则,所述至少一个安全规则与至少一个用户权限关联,其中所述多个对象的至少一个中的每个对象的全部安全规则的集合与一个安全设定类型相对应,不同安全规则的集合对应不同的安全设定类型,所述装置包括:关联列表生成单元,用于根据每个安全设定类型对应的安全规则集合与至少一个用户权限的关联关系,建立该至少一个用户与安全设定类型之间的关联列表;以及安全核查单元,用于根据所述关联列表检查所述用户对所述多个对象中至少一个的安全性。
根据以上提供的方法和装置,不需要深入到每个对象的安全规则设定细节中即可实现对多个对象的安全性设定和检查,极大提高了运行效率和性能。并且,这样的方法和装置具有很强的可扩展性,能够方便适应管理对象数目和安全规则数目的增加。
附图说明
下面结合附图说明本发明的实施例,其中:
图1是根据本发明一个实施例为多个对象设定安全性的流程图;
图2是为多个对象设定安全规则并识别安全设定类型的一个实施例的示意图表;
图3是在图2中的安全设定类型与用户之间建立的关联列表的一个示例的示意图;
图4是多个对象设定安全规则并识别安全设定类型的另一个实施例的示意图;
图5是在图4中的安全设定类型与用户之间建立的关联列表的一个示例的示意图;
图6是根据本发明一个实施例检查用户对多个对象的安全性的流程图;
图7是检查图4中多个对象的安全性的一个实施例的示意图;
图8示出根据一个实施例用于对多个对象设定安全性的装置的结构框图;以及
图9示出根据本发明一个实施例用于检查用户对多个对象的安全性的装置的结构框图。
具体实施方式
本发明提供为多个对象设定安全性并检查用户对该多个对象的安全性的方法。所述多个对象可以是信息管理系统中的各种待管理对象,例如文档、记录等等。首先,结合附图描述为多个对象设定安全性的方法的实施例。
图1是根据本发明一个实施例为多个对象设定安全性的流程图。如图1中所示,在步骤S10中,为至少一个对象设定至少一条安全规则,其中安全规则与至少一个用户权限相关。在步骤S12中,识别上述至少一个对象的安全设定类型,其中所述安全设定类型对应于为一个对象设定的全部安全规则的集合,不同安全规则的集合对应不同的安全设定类型。在步骤S14中,根据安全设定类型对应的安全规则集合与至少一个用户权限的关联关系,建立用户与安全设定类型之间的关联列表。在步骤S16中,将S14中得到的关联列表缓存。在变体方案的流程图中,为多个对象设定安全性的方法可以不包括步骤S14和S16。下面结合具体的对象管理系统和安全规则设定的示例对上述流程图中的各个步骤进行进一步解释说明。
图2是为多个对象设定安全规则并识别安全设定类型的一个实施例的示意图表。图2(a)中示例性示出系统中的10个管理对象。假设存在三个用户A,B,C有可能访问这些管理对象。访问的类型可以是只读访问和可操作访问。可操作访问包括用户对管理对象的删除、更新等操作权限。为此,对这10个管理对象进行安全性设定,也就是,为每个对象分配至少一条安全规则。例如,为对象1设定了一条安全规则:“所有用户均可读”,为对象2设定了两条安全规则:“用户A可读”以及“用户B可操作”,为对象3设定了三条安全规则:“用户A可操作”、“用户B可读”以及“用户C可读”。类似地,每个管理对象由此具有了至少一条安全规则,这些安全规则与用户访问该管理对象的权限相关联。
将为每个对象设定的安全规则的集合视为一个整体,可识别出不同的安全设定的类型。也就是,使得安全设定类型对应于分配给一个对象的安全规则的集合,并使得不同安全规则的集合对应不同的安全设定类型。在图2(a)的例子中,可以发现分配给对象1和对象5的安全规则都是“任何用户均可读”,因此可以将他们的安全设定认定为同一类型,示例性地用类型1表示。而对象2包括两条安全规则:“用户A可读”以及“用户B可操作”,与对象1的规则不同,因此,必须将其认定为不同的安全设定类型,示例性地用类型2表示。类似地,分析、比对每个对象上安全规则的集合,可以如图所示将10个对象上的安全设定分为6个安全设定类型。在该实施例中,相同的安全规则集合对应相同的安全设定类型,如对象1与对象5、对象2与对象8、对象3与对象6以及对象7与对象9,不同的安全规则集合对应不同的安全设定类型,如图表中具有不同类型号码的对象。
但是,这并不是唯一的识别方法。在变体实施例中,不排除将相同的安全规则集合对应于不同的安全设定类型。例如,在图2(a)中,对象2与对象8的安全规则实质上相同,在以上实施例中,他们对应于同样的安全设定类型2。但是在变体实施例中,可以将对象2的安全规则集合认定为类型2,将对象8的安全规则集合认定为类型8。但是,仍然要保证,不同的安全规则集合对应不同的安全设定类型。
进一步地,如果要在系统中添加新的管理对象,例如,对象11,可以先为该对象11设定安全规则,然后与上述方式相似地识别其对应的安全设定类型;也可以先识别待设定的安全规则集合,然后直接将该识别出的安全设定类型直接分配给该对象11。
更具体地,图2(a)中的对象可以是树形结构管理的对象,如图2(b)所示。在图2(b)中,对象1-10用三个层级的树形结构进行管理。在该树形结构中,对象1为根节点,如结合图2(a)的描述,对象1被设定了安全设定类型1。对象2、3和5是对象1的子节点,其中对象2被设定了安全设定类型2,对象3被设定了安全设定类型3,而对象5从对象1继承了安全设定类型1。相似地,其它对象的安全设定或者来自管理员的设定,或者来自从其上级对象/节点的继承。这样的安全设定类型的继承机制对于树形结构管理对象非常重要。当管理对象增多时,利用树形结构以及该继承机制,只需要对少数关键的对象/节点设置安全规则,并识别其安全类型即可。其它的相关对象可以通过继承直接获得相应的安全设定类型,从而大大提高运行的性能和效率。
图2所示实施例的方法通过为每个对象分配安全规则,并将分配到同一对象的安全规则的集合对应到安全设定类型,可以实现为多个对象设定安全性的目的。进一步地,设定安全性的方法还可以包括建立用户与安全设定类型之间的关联列表的步骤。
图3是在图2中的安全设定类型与用户之间建立的关联列表的一个示例的示意图。由于图2中的安全设定类型对应于分配给同一对象的安全规则集合,而安全规则集合中的每一条安全规则都与用户访问该对象的权限相关联,由此,可根据安全设定类型与用户权限之间的这种关联关系,在它们之间建立关联列表。图3的实施例中示出了为用户A、用户B和用户C建立的关联列表。用户A关联列表包括用户A可读类型列表TA1和用户A可操作类型列表TA2。用户A可读类型列表TA1通过分析各安全设定类型对应的安全规则集合中对用户A可读权限的限定而得到。
具体地,图2的类型2、4、6对应的安全规则明确限定了用户A具有可读的权限,因此,应被列入用户A可读类型列表TA1中。类型3对应的安全规则中限定用户A具有可操作的权限。一般地,可操作权限是基于用户对该对象的可读权限的,因此,认为安全设定类型3也允许用户A的可读访问,从而应被添加到可读类型列表TA1中。类型1所对应的安全规则是“任何用户均可读”,暗含了用户A的可读访问权限,从而也被添加到所述可读类型列表TA1中。由此,用户A可读类型列表包括了图2中的安全设定类型1、2、3、4和6。
对于用户A可操作类型列表TA2,通过分析各安全设定类型可以发现,只有类型3相应的安全规则集合允许用户A的可操作访问。因此,用户A可操作类型列表TA2仅包括图2中的安全设定类型3。
类似地,可以得出关于用户B的关联列表TB1和TB2。如图所示,用户B可读类型列表TB1包括图2中的安全设定类型1、2、3、4和5;用户B可操作类型列表TB2包括图2中的安全设定类型2、4、5。
通过以上的方法,可以相似地得到关于用户C的关联列表,在此不再赘述。
在本发明为多个对象设定安全性的一个实施例中,根据安全设定类型所相应的安全规则集合与用户访问权限的关联,为所有用户建立该用户与安全设定类型之间的关联列表,并进行缓存备用。在替代实施例中,可以仅仅为多个用户中的一部分建立关联列表,如仅对用户A和用户B建立关联列表,并进行缓存。或者,可以根据需要仅仅针对用户的部分访问权限建立关联列表,如仅仅建立各用户的可读类型列表,并进行缓存。
图4是为多个对象设定安全规则并识别安全设定类型的另一个实施例的示意图。在该实施例中,多个对象通过树形结构进行管理,可以看作树形结构中的节点。如图4(a)所示,12个节点在树形结构中分为4个层级,其中节点1为根节点,节点7-12为叶节点。假设存在多个用户:用户A,用户B和用户组C有可能访问该树形结构的节点,其中用户组C又包括三个用户C1,C2和C3。为控制多个用户访问的安全性,用权限标签的方式为树形结构的多个节点设置安全性。
简单起见,权限标签可以用不同颜色的标签表示。例如,在本实施例中,将R(红色)、G(绿色)和B(蓝色)颜色标签代表的权限分配给树形结构中的节点,同时也为多个用户赋予颜色标签,并规定,当用户的颜色标签覆盖某节点的颜色标签时,该用户就有权限访问该节点。如图4(a)所示,节点2被分配了标签R,节点3被分配了标签G,节点4被分配了标签RB,节点6被分配了标签GB,节点8被分配了标签RG,节点11被分配了标签GB,节点12被分配了标签RGB。由于这些节点是通过树形结构管理的,在本实施例中,对于没有被直接分配权限标签的节点,可以认为其从上级节点直接继承获得相同的权限标签。例如,对于节点5,可以认为其继承了节点3的标签G,节点7继承了节点4的标签RB。可替代的,在其他实施例中,没有被直接设定权限标签的节点也可以具有统一的缺省标签设置。
另一方面,也为多个用户设置了标签。如图4中表格(b)所示,用户A具有标签RGB,用户B具有标签RB,用户组C具有标签RG,也就是说,用户组C中的用户C1,C2,C3都具有该标签RG。通过规定用户标签与节点标签的关系,节点上设置的颜色标签可与用户访问权限相关联。由此,权限标签与图2实施例中的安全规则相似,起到与用户访问权限关联的作用。
将分配到同一节点的权限标签的集合视为一个整体,可识别出不同的安全设定的类型。也就是,使得安全设定类型对应于分配给一个节点的权限标签的集合,并使得不同权限标签的集合对应不同的安全设定类型。在图4的例子中,可以将权限标签的集合对应于6种安全设定类型,如图4中表格(c)所示。在这个表格中,不同的权限标签集合相应于不同的安全设定类型。
图4所示实施例的方法为每个对象分配了作用为安全规则的权限标签,并将分配到同一对象的权限标签的集合对应到安全设定类型,从而实现为多个对象设定安全性的目的。进一步地,设定安全性的方法还可以包括建立用户与安全设定类型之间的关联列表的步骤。
图5是在图4中的安全设定类型与用户之间建立的关联列表的一个示例的示意图。在图4的表格4(b)中,用户对节点的访问权限与权限标签相关,在表格4(c)中,安全设定类型也与分配给节点的权限标签相关联,由此可在用户与安全设定类型之间建立关联。假设规定,当用户的权限标签覆盖某节点的权限标签时,该用户就有权限访问该节点,那么可以生成图5中所示的关联列表。该关联列表包括允许用户A访问的用户A通过列表PA,允许用户B访问的用户B通过列表PB以及允许用户组C访问的用户组C通过列表PC。
具体地,用户A的权限标签为RGB,意味着,用户A可以访问标签为R、G、B及其任意相互组合的安全设定类型的节点,即表格4(d)中的所有类型的节点。因此,用户A通过列表PA包括所有安全设定类型1-6。用户B的权限标签为RB,意味着,用户B可以访问标签为R、B及其组合的安全设定类型的节点。通过分析表格4(b)中各种类型对应的权限标签集合,可以发现,仅有类型1和3对应的标签集合被用户B覆盖。因此,用户B通过列表PB包括类型1和类型3。类似地,可以得出,用户组C通过列表PC包括类型1,2和4。生成的列表PA,PB和PC被放入缓存,以备进一步使用。
在上述实施例中,根据安全设定类型所相应的权限标签集合与用户访问权限的关联,为所有用户建立了该用户可访问的安全设定类型列表,并进行缓存备用。在替代实施例中,可以仅仅为多个用户中的一部分建立关联列表,如仅对用户A和用户B建立关联列表,并进行缓存。或者,可以为每个用户建立拒绝该用户访问的安全设定类型列表,代替上述的允许用户访问的通过列表。
下面结合附图说明根据本发明的检查用户对多个对象的安全性的方法的实施例。
图6是根据本发明一个实施例检查用户对多个对象的安全性的流程图。其中所述多个对象中的至少一个已经被设定有至少一个安全规则,所述安全规则与用户权限关联,并且设定给同一对象的全部安全规则的集合与一个安全设定类型相对应,不同安全规则的集合对应不同的安全设定类型。在此基础上,图6的流程包括:在步骤S60中,根据每个安全设定类型对应的安全规则集合与至少一个用户权限的关联关系,建立用户与安全设定类型之间的关联列表;在步骤S62中,根据S60中得到的关联列表,检查用户相对于多个对象中的至少一个对象的安全性。对于在安全性设定阶段已经生成了用户与安全设定类型之间的关联列表的情况,存在安全性检查的变体方案。在变体方案的流程图中,检查用户对多个对象的安全性的方法可以不包括步骤S62,也就是,直接根据缓存中已经生成的关联列表,进行安全性检查。下面结合具体的对象管理系统和安全规则设定的示例对上述流程图中的各个步骤进行进一步解释说明。
图7是检查图4中多个对象的安全性的一个实施例的示意图。图7(a)中所示的树形结构节点系统与图4(a)中的相同,其中多个节点被设置了安全规则或具体的权限标签。利用图4中表格4(b),已经将分配给同一节点的权限标签集合与安全设定类型对应,由此,可以直接用安全设定类型代表节点上被分配的权限标签。如图7(a)中所示,多个节点旁边标注的安全设定类型代表了其被分配的权限标签集合。没有被直接设定安全性的节点可继承其上级节点的安全设定类型,或默认其具有系统缺省的安全设定类型。在本实施例中,假设这类节点均继承其上级的设定。
现在假定,用户组C请求访问节点7-12,为此要检查用户组C对这些节点安全性。这些节点通过系统设置或继承已经具有不同的安全设定类型,清楚起见,将待检查节点与安全设定类型对应关系列成图7(b)所示表格,其中,节点7通过继承节点4而具有安全设定类型3,节点9通过继承节点3而具有类型2,节点10通过继承节点6而具有类型5。其他节点的安全设定类型来自直接设定。
为检查用户组C对具有上述安全设定类型的节点的访问权限,需要在用户组C与各种安全设定类型之间建立关联表。图4、图5所示的实施例中已经具体描述了结合权限标签与安全设定类型的对应表4(b)和用户与权限标签之间的关系表图4(c)生成图5所示的用户与安全设定类型之间关联表的过程,在此不再赘述。在本实施例中,仅仅为用户组C生成允许该用户组访问的通过列表,如表格7(c)所示。该通过列表7(c)清楚示出,用户组C只能访问安全设定类型为1、2或4的节点。根据该通过列表7(c),可以很容易地从表格7(b)中过滤挑选出允许用户组C访问的节点为节点8和节点9。
在另一实施例中,用户与安全设定类型之间的关联表已经在为多个设定安全性的阶段生成,并进行了缓存。在接下来检查某用户对该多个对象的安全性时,只需要从缓存中取出所述关联表,然后按照上述方法,根据关联表进行安全性检查即可。
在其它实施例中,为所有用户建立用户与安全设定类型的关联表,在某个特定用户请求访问时,从所述关联表中取出针对该特定用户的关联表部分,利用这一部分进行检查。或者,可以在运行时仅仅为请求访问的特定用户建立所述关联表。当需要添加或删除管理对象数目,或更新安全规则设定时,可以对更新的安全规则设定进行识别,并更新用户与安全规则的关联列表。
很明显,利用关联表检查安全性仅仅需要比对和判断待检查的对象的安全设定类型是否在所述关联表中即可,不需要深入分析每个对象上设定的具体而复杂的安全规则,因此运行效率得到提高。在多数信息管理系统中,管理对象的数目要远远大于安全规则的种类,从而远远大于安全规则集合,即安全设定类型的数目。对于这样的系统,利用关联列表简单地过滤出符合权限要求的对象从而进行安全性检查的方法相对于现有技术方法来说优势尤其明显。
进一步地,本发明提供了为多个对象设定安全性的装置以及用于检查用户对多个对象的安全性的装置。下面结合附图描述上述装置的实施例。
图8示出根据一个实施例用于对多个对象设定安全性的装置的结构框图。如图所示,该装置800主要包括安全规则设定单元80,安全设定类型识别单元82,关联列表生成单元84以及存储单元86。
安全规则设定单元80用于给多个对象设定至少一条安全规则。所述多个对象可以是信息管理系统中的各种管理对象,如文档,记录等等。这些对象可以通过树形结构进行管理。所述安全规则与至少一个用户访问所述对象的权限相关联。在具体实施例中,所述安全规则可以是权限标签。安全规则设定单元将至少一个权限标签分配给至少一个对象。在树形结构管理的对象的系统中,对象还可以从其上级对象继承所述安全规则。
安全设定类型识别单元82用于识别所述多个对象的安全设定类型,也就是将为一个对象设定的全部安全规则的集合与安全设定类型相对应,并使得不同安全规则的集合具有不同的安全设定类型。
关联列表生成单元84用于根据安全设定类型对应的安全规则集合与用户权限的关联关系,建立该用户与安全设定类型之间的关联列表,并将该列表缓存。关联列表的生成方法已在前面结合图3和图5进行了描述,在此不再赘述。如前所述,所述关联列表可以是允许某用户访问的安全设定类型列表,或者拒绝某用户访问的安全设定类型列表。
存储单元86用于存储各种处理的结果或中间结果。该单元可包括缓存区。
安全规则设定单元80、安全设定类型识别单元82以及关联列表生成单元84均与存储单元86相连,从而进行数据的读取与存储。具体地,安全规则设定单元80可将对多个对象的安全性设定结果存储至存储单元80。安全设定类型识别单元82可直接从安全规则设定单元80获得多个对象的安全性设定结果,也可以从存储单元86中读取存储的设定结果。根据该设定结果,安全设定类型识别单元82识别各种的安全设定类型,并将识别结果,也就是,安全设定类型和安全规则的对应关系存储至存储单元80。关联列表生成单元84可直接从安全设定类型识别单元82获得识别结果,或者从存储单元86读取安全设定类型和安全规则的对应关系,并基于安全规则与用户权限之间的关系,生成关联列表,并将该关联列表存储至存储单元86。存储单元86可以是独立的单元,也可以是其它单元中附带的具有存储功能的功能模块的集合。
在另一实施例中,为多个对象设定安全性的装置包括安全规则设定单元、安全设定类型识别单元以及存储单元,而不包括关联列表生成单元。
图9示出根据本发明一个实施例用于检查用户对多个对象的安全性的装置的结构框图。该装置适用于对已经被设定安全规则的多个对象进行安全性检查,其中所述安全规则与用户权限相关联,并且为同一对象设定的安全规则的集合已经被对应到安全设定类型。如图所示,该装置900包括关联列表生成单元90,安全检查单元92和存储单元94。
关联列表生成单元90用于根据安全设定类型对应的安全规则集合与用户权限的关联关系,建立该用户与安全设定类型之间的关联列表。类似的,所述关联列表可以是允许某用户访问的安全设定类型列表,或者拒绝某用户访问的安全设定类型列表。
安全检查单元92用于根据生成的关联列表,检查用户对至少一个对象的安全性。具体地,如果所述关联列表是允许某用户访问的通过列表,则安全检查单元92用于判断待检查对象中的每一个的安全设定类型是否在所述通过列表中。如果在该列表中,则允许该用户访问该对象,否则,拒绝其访问。
存储单元94与关联列表生成单元90以及安全检查单元92相连,用于存储各种处理的结果或中间结果。具体地,关联列表生成单元90可以将生成的关联列表存储在存储单元94中,或者直接传送给安全检查单元92。相应地,安全检查单元92可以从存储单元94中读取关联列表,或者只读取关联列表中所需的一部分,或者直接从关联列表生成单元90获取关联列表,依据此列表进行安全检查。
由于图9的安全检查装置中的关联列表生成单元90与图8的安全设定装置中的关联列表生成单元84功能相同,因此,在另一实施例中,对于已经包含关联列表生成单元的安全设定装置所对应的安全检查装置,其结构中可不包含关联列表生成单元。
通过上述的为多个用户设定安全性的装置以及检查用户对多个对象的安全性的装置,可以实现本发明实施例的为多个用户设定安全性的方法,以及检查用户对多个对象的安全性的方法。
本领域技术人员可以理解,上述的方法和装置可以使用计算机可执行指令和/或包含在处理器控制代码中来实现,例如在诸如磁盘、CD或DVD-ROM的载体介质、诸如只读存储器(固件)的可编程的存储器或者诸如光学或电子信号载体的数据载体上提供了这样的代码。本实施例的安全性设定和检查装置及其单元、组件可以由诸如超大规模集成电路或门阵列、诸如逻辑芯片、晶体管等的半导体、或者诸如现场可编程门阵列、可编程逻辑设备等的可编程硬件设备的硬件电路实现,也可以用由各种类型的处理器执行的软件实现,也可以由上述硬件电路和软件的结合实现。
虽然以上结合具体实施例对本发明的安全性设定和检查的方法及装置进行了详细描述,但本发明并不限于此,本领域普通技术人员能够理解可以对本发明进行多种变换、替换和修改而不偏离本发明的精神和范围;本发明的保护范围由所附权利要求来限定。

Claims (21)

1.一种为多个对象设定安全性的方法,包括:
为上述多个对象中的至少一个对象设定至少一个安全规则,所述至少一个安全规则与至少一个用户权限关联;
识别上述多个对象中的至少一个对象的安全设定类型,其中上述安全设定类型对应于为一个对象设定的全部安全规则的集合,不同安全规则的集合对应不同的安全设定类型;以及
根据所述每个安全设定类型对应的安全规则集合与至少一个用户权限的关联关系,建立该至少一个用户与安全设定类型之间的关联列表,并将该列表缓存。
2.如权利要求1的为多个对象设定安全性的方法,其中所述用户与安全设定类型之间的关联列表包括允许该用户访问的安全设定类型列表或拒绝该用户访问的安全设定类型列表。
3.如权利要求1-2中任意一项的为多个对象设定安全性的方法,其中所述多个对象为层级结构中的多个对象,上述多个对象中的至少一个从其上级对象继承安全规则。
4.如权利要求1-2中任意一项的为多个对象设定安全性的方法,其中所述安全规则为权限标签。
5.如权利要求1-2中任意一项的为多个对象设定安全性的方法,其中所述用户还包括用户组。
6.一种检查用户对多个对象中至少一个对象的安全性的方法,其中所述多个对象中的至少一个被设定至少一个安全规则,所述至少一个安全规则与至少一个用户权限关联,其中上述多个对象中的至少一个中的每一个对象的全部安全规则的集合与一个安全设定类型相对应,不同安全规则的集合对应不同的安全设定类型,所述方法包括:
根据所述每个安全设定类型对应的安全规则集合与至少一个用户权限的关联关系,建立该至少一个用户与安全设定类型之间的关联列表;
根据所述关联列表,检查上述用户相对于所述多个对象中的至少一个对象的安全性。
7.如权利要求6的检查用户对多个对象中至少一个对象的安全性的方法,其中所述建立关联列表的步骤包括:在运行时仅为待核查的特定用户建立其与安全设定类型之间的关联列表。
8.一种检查用户对多个对象中至少一个对象的安全性的方法,其中所述多个对象中的至少一个被设定至少一个安全规则,所述至少一个安全规则与至少一个用户权限关联,其中上述多个对象中的至少一个中的每一个对象的全部安全规则的集合与一个安全设定类型相对应,不同安全规则的集合对应不同的安全设定类型,并且,预先缓存有至少一个用户与安全设定类型之间的关联列表,所述方法包括:
根据所述关联列表,检查上述用户相对于所述多个对象中的至少一个对象的安全性。
9.如权利要求6-8中任意一项的检查用户对多个对象中至少一个对象的安全性的方法,其中所述用户与安全设定类型之间的关联列表包括允许该用户访问的安全设定类型列表或拒绝该用户访问的安全设定类型列表。
10.如权利要求6-8中任意一项的检查用户对多个对象中至少一个对象的安全性的方法,其中所述多个对象为层级结构对象,上述多个对象中的至少一个对象从其上级对象继承安全设定类型。
11.如权利要求6-8中任意一项的检查用户对多个对象中至少一个对象的安全性的方法,其中所述安全规则为权限标签。
12.如权利要求6-8中任意一项的检查用户对多个对象中至少一个对象的安全性的方法,其中所述用户还包括用户组。
13.一种为多个对象设定安全性的装置,所述装置包括:
安全规则设定单元,用于为所述多个对象中至少一个对象设定至少一个安全规则,所述至少一个安全规则与至少一个用户权限关联;
安全设定类型识别单元,用于识别上述多个对象中的至少一个对象的安全设定类型,其中上述安全设定类型对应于为一个对象设定的全部安全规则的集合,不同安全规则的集合对应不同的安全设定类型;以及
关联列表生成单元,用于根据每个安全设定类型对应的安全规则集合与至少一个用户权限的关联关系,建立该至少一个用户与安全设定类型之间的关联列表,并将该列表缓存。
14.如权利要求13的装置,其中所述关联列表生成单元所生成的关联列表包括允许该用户访问的安全设定类型列表或拒绝该用户访问的安全设定类型列表。
15.如权利要求13-14中任意一项的装置,其中所述安全规则为权限标签。
16.如权利要求13-14中任意一项的装置,其中所述多个对象为层级结构中的多个对象,上述多个对象中的至少一个从其上级对象继承安全规则。
17.一种用于检查用户对多个对象中至少一个对象的安全性的装置,其中所述多个对象中的至少一个被设定至少一个安全规则,所述至少一个安全规则与至少一个用户权限关联,其中所述多个对象的至少一个中的每个对象的全部安全规则的集合与一个安全设定类型相对应,不同安全规则的集合对应不同的安全设定类型,所述装置包括:
关联列表生成单元,用于根据每个安全设定类型对应的安全规则集合与至少一个用户权限的关联关系,建立该至少一个用户与安全设定类型之间的关联列表;
安全核查单元,用于根据所述关联列表检查所述用户对所述多个对象中至少一个的安全性。
18.如权利要求17的装置,其中所述关联列表生成单元生成的关联列表包括允许该用户访问的安全设定类型列表或拒绝该用户访问的安全设定类型列表。
19.如权利要求17的装置,其中所述关联列表生成单元用于在运行时仅为待核查的特定用户建立其与安全设定类型之间的关联列表。
20.如权利要求17-19中任意一项的装置,其中所述安全规则为权限标签。
21.如权利要求17-19中任意一项的装置,其中所述多个对象为层级结构中的多个对象,上述多个对象中的至少一个从其上级对象继承安全规则。
CN2008100912721A 2008-04-28 2008-04-28 多个对象的安全性设定及检查的方法和装置 Expired - Fee Related CN101571858B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN2008100912721A CN101571858B (zh) 2008-04-28 2008-04-28 多个对象的安全性设定及检查的方法和装置

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN2008100912721A CN101571858B (zh) 2008-04-28 2008-04-28 多个对象的安全性设定及检查的方法和装置

Publications (2)

Publication Number Publication Date
CN101571858A CN101571858A (zh) 2009-11-04
CN101571858B true CN101571858B (zh) 2013-06-19

Family

ID=41231216

Family Applications (1)

Application Number Title Priority Date Filing Date
CN2008100912721A Expired - Fee Related CN101571858B (zh) 2008-04-28 2008-04-28 多个对象的安全性设定及检查的方法和装置

Country Status (1)

Country Link
CN (1) CN101571858B (zh)

Families Citing this family (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102082780B (zh) 2009-11-30 2014-03-05 国际商业机器公司 安全验证的方法和装置
CN102930215B (zh) * 2012-09-19 2015-10-07 无锡华御信息技术有限公司 便携式数据安全装置的生成方法及数据安全管控方法
EP3215976B1 (en) 2014-11-05 2021-10-20 AB Initio Technology LLC Database security

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN1553380A (zh) * 2003-05-27 2004-12-08 鸿富锦精密工业(深圳)有限公司 数据库使用权限控制系统及方法
CN1859166A (zh) * 2005-10-28 2006-11-08 华为技术有限公司 对数据管理进行权限控制的方法
CN1960252A (zh) * 2006-06-30 2007-05-09 南京联创科技股份有限公司 基于角色的多维度对象访问控制方法

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN1553380A (zh) * 2003-05-27 2004-12-08 鸿富锦精密工业(深圳)有限公司 数据库使用权限控制系统及方法
CN1859166A (zh) * 2005-10-28 2006-11-08 华为技术有限公司 对数据管理进行权限控制的方法
CN1960252A (zh) * 2006-06-30 2007-05-09 南京联创科技股份有限公司 基于角色的多维度对象访问控制方法

Also Published As

Publication number Publication date
CN101571858A (zh) 2009-11-04

Similar Documents

Publication Publication Date Title
Vo et al. Research Directions in Blockchain Data Management and Analytics.
US7299171B2 (en) Method and system for processing grammar-based legality expressions
Biswas et al. Label-based access control: An ABAC model with enumerated authorization policy
US10102355B2 (en) Optimized enforcement of fine grained access control on data
KR101120814B1 (ko) 로우 레벨 데이터베이스 보안을 최적화하는 시스템 및 방법
US8955040B2 (en) Provisioning authorization claims using attribute-based access-control policies
US8301660B2 (en) Enforcing restrictions for graph data manipulation operations
US8904551B2 (en) Control of access to files
US9509722B2 (en) Provisioning access control using SDDL on the basis of an XACML policy
US8095557B2 (en) Type system for access control lists
US20070056026A1 (en) Role-based access control management for multiple heterogeneous application components
Son et al. Towards a fine-grained access control mechanism for privacy protection and policy conflict resolution
CN104301301B (zh) 一种基于云存储系统间的数据迁移加密方法
US20180067848A1 (en) Memory access control method and system
US11580206B2 (en) Project-based permission system
US11720701B2 (en) Systems and methods to control data access and usage
CN109726579A (zh) 资源访问权限分组方法及设备
CN114048508A (zh) 一种基于标签的信息资产强制访问控制方法
Grummt et al. Fine-grained access control for EPC information services
CN101571858B (zh) 多个对象的安全性设定及检查的方法和装置
Blanco et al. Security policies by design in NoSQL document databases
Cheng et al. Extended ReBAC administrative models with cascading revocation and provenance support
Baraani-Dastjerdi et al. Security in databases: A survey study
El Ouazzani et al. Dynamic management of data warehouse security levels based on user profiles
KR101535807B1 (ko) 하이브리드 규칙 추론 장치 및 그 방법

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
C14 Grant of patent or utility model
GR01 Patent grant
CF01 Termination of patent right due to non-payment of annual fee

Granted publication date: 20130619

Termination date: 20150428

EXPY Termination of patent right or utility model