CN102388387A - 访问控制策略模板生成设备、系统、方法及程序 - Google Patents
访问控制策略模板生成设备、系统、方法及程序 Download PDFInfo
- Publication number
- CN102388387A CN102388387A CN201080016235XA CN201080016235A CN102388387A CN 102388387 A CN102388387 A CN 102388387A CN 201080016235X A CN201080016235X A CN 201080016235XA CN 201080016235 A CN201080016235 A CN 201080016235A CN 102388387 A CN102388387 A CN 102388387A
- Authority
- CN
- China
- Prior art keywords
- access control
- resource
- control policy
- template
- resources
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/62—Protecting access to data via a platform, e.g. using keys or access control rules
- G06F21/6218—Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/604—Tools and structures for managing or administering access control systems
Abstract
一种访问控制策略生成设备设有资源编组装置,其在已经规定了用于资源的访问控制的内容的多个访问控制策略被提供时,基于由这多个访问控制策略中具有相同资源的访问控制策略所组成的、通过资源分类的访问控制策略的集合之间的相似度,来将每个资源分类到一个或多个群组中,该相似度是使用通过资源分类的访问控制策略的集合中所包括的访问控制策略的访问控制的内容、作为比较目标而计算出的。访问控制策略生成设备还设有模板生成装置,其针对组每个资源群组,基于规定资源群组中所包括的资源的、访问控制策略的中的规定内容来生成访问控制策略模板,所述每个资源群组是由所述资源编组装置分类出的一组资源。
Description
技术领域
本发明涉及用于生成访问控制策略(access control policy)的模板的访问控制策略模板生成设备、访问控制策略管理系统、访问控制策略模板生成方法及访问控制策略模板生成程序。
背景技术
根据基于模板的方法而基于预先创建的访问控制策略的模板(以下称为“策略模板”)来施加对限定例如访问权限的访问控制策略的设定使得访问权限管理系统的管理员不必一再输入相同的设定并且降低了策略设定成本。
例如,专利文献1公开了基于模板来设定访问控制策略的系统的示例。
此外,专利文献2公开了如下方法:当求出两个策略集合的相似度并且相似度在阈值以上时,基于每个策略集合中的策略配对来生成可以用于替换这两个策略集合的策略集合。
文献列表
专利文献
专利文献1:日本专利申请特开2004-133816号公报
专利文献2:日本专利申请特开2007-072581号公报
发明内容
技术问题
然而,专利文献1中所公开的系统具有难以创建策略模板的问题。尽管创建策略模板需要与当前正在运用的策略有关的知识,如果存在被设定了访问控制策略的诸如服务器或文件夹之类的多个目标(以下称为资源),则策略的总数量变得很大,并且如果由于管理员的更换而不能继承该知识,则难以得知存在什么服务。
通常针对每个服务来设定访问控制策略,服务例如是用于附属公司的部门网络内容和信息服务。此外,当添加资源时,使用该添加的资源所提供的服务通常是预先确定的,并且,如果策略模板是针对每个服务预先创建的,则管理员容易为添加的资源选择所使用的策略模板。
当例如模板是针对每个服务创建的以支持部门1的网络服务或支持部门1的文件夹时,如果添加的服务器用于何种用途以及用于哪些用户(例如,作为网络服务器而用于部门1)被确定以添加新的服务器,则可以通过选择和使用支持该服务的模板来容易地向要添加的服务器应用策略。
鉴于此,策略模板优选是根据基于现有策略习得的服务的分类而创建的。
另外,通过使用专利文献2中所公开的方法,可以将两个策略集合之间的相同策略创建为模板。然而,专利文献2中所公开的方法针对的是生成至少可以用于替换两个策略集合的策略集合,并且没有考虑参考大量策略集合基于每个测量集合的设定内容来读取服务的分类。因此,专利文献2中所公开的方法针对仅仅是比较两个策略集合,并因此不能创建与服务分类对应的模板。
因此,本发明的一个目的是提供用于创建与从现有策略习得的服务分类相匹配的策略模板的访问控制策略模板生成设备、访问控制策略管理系统、访问控制策略模板生成方法和访问控制策略模板生成程序。
问题的解决方案
根据本发明的一种访问控制策略生成设备包括资源编组装置和模板生成装置,资源编组装置在包括为资源限定的访问控制内容的多个访问控制策略被给出时,基于资源特定的访问控制策略集合之间的相似度来将每个资源分类到一个或多个群组中,该相似度是使用在资源特定的访问控制策略集合(该集合包括多个访问控制策略中的相同资源的访问控制策略)中所包括的访问控制策略的访问控制内容作为比较目标而计算出的,模板生成装置针对每个资源群组,基于为资源群组中所包括的资源限定的访问控制策略的限定内容来生成访问控制策略模板,每个资源群组是由资源编组装置分类出的一组资源。
根据本发明的一种访问控制策略管理系统包括一种访问控制策略生成设备,该访问控制策略生成设备包括资源编组装置和模板生成装置,资源编组装置在包括为资源限定的访问控制内容的多个访问控制策略被给出时,基于资源特定的访问控制策略集合之间的相似度来将每个资源分类到一个或多个群组中,该相似度是使用在包括多个访问控制策略中的相同资源的访问控制策略的资源特定的访问控制策略集合中所包括的访问控制策略的访问控制内容作为比较目标而计算出的,模板生成装置针对每个资源群组,基于为资源群组中所包括的资源限定的访问控制策略的限定内容来生成访问控制策略模板,每个资源群组是由资源编组装置分类出的一组资源;该访问控制策略管理系统包括:资源登记装置,资源登记装置登记新资源;模板选择装置,模板选择装置根据用户的操作,从由访问控制策略生成设备所生成的访问控制策略模板中,选择要应用于资源登记装置中所登记的新资源的访问控制策略模板;以及访问控制策略生成装置,访问控制策略生成装置根据用户的操作来编辑由模板选择装置所选择的访问控制策略模板,并且生成要应用于资源登记装置中所登记的新资源的访问控制策略。
根据本发明的一种访问控制策略生成方法包括:当包括为资源限定的访问控制内容的多个访问控制策略被给出时,基于资源特定的访问控制策略集合之间的相似度来将每个资源分类到一个或多个群组中,该相似度是使用在包括多个访问控制策略中的相同资源的访问控制策略的资源特定的访问控制策略集合中所包括的访问控制策略的访问控制内容作为比较目标而计算出的;以及针对每个资源群组,基于为资源群组中所包括的资源限定的访问控制策略的限定内容来生成访问控制策略模板,每个资源群组是已分类的一组资源。
根据本发明的一种访问控制策略生成程序使得计算机执行以下处理,该计算机包括存储装置,该存储装置存储包括为资源限定的访问控制内容的多个访问控制策略,该计算机执行:资源编组处理,用于基于资源特定的访问控制策略集合之间的相似度来将每个资源分类到一个或多个群组中,该相似度是使用在包括多个访问控制策略中的相同资源的访问控制策略的资源特定的访问控制策略集合中所包括的访问控制策略的访问控制内容作为比较目标而计算出的;以及模板生成处理,用于针对每个资源群组,基于为资源群组中所包括的资源限定的访问控制策略的限定内容来生成访问控制策略模板,每个资源群组是已分类的一组资源。
本发明的有益效果
根据本发明,可以创建与从现有策略习得的服务分类相匹配的策略模板。
附图说明
图1是图示出根据本发明第一示例性实施例的策略模板生成设备的配置示例的框图。
图2是图示出根据第一示例性实施例的操作(总体操作)的示例的流程图。
图3是图示出根据第一示例性实施例的操作(资源群组生成处理)的示例的流程图。
图4是图示出根据第一示例性实施例的操作(资源间距离计算处理)的示例的流程图。
图5是图示出根据第一示例性实施例的操作(从资源分类树生成资源群组的处理)的示例的流程图。
图6是图示出根据第一示例性实施例的操作(从资源分类树提取上层节点集合的处理)的示例的流程图。
图7是图示出根据第一示例性实施例的操作(模板生成处理)的示例的流程图。
图8是图示出根据第一示例性实施例的访问权限管理系统的配置示例的框图。
图9是图示出策略存储装置中所存储的策略集合的示例的说明性示图。
图10是图示出从图9中示出的策略集合生成的资源分类树的示例的说明性示图。
图11是图示出示出从从图9中示出的策略集合生成的资源群组的信息的示例的说明性示图。
图12是图示出从图9中示出的策略集合生成的策略模板的示例的说明性示图。
图13是图示出利用所生成的策略模板的策略设定操作的示例的流程图。
图14是图示出由模板选择装置提供的模板选择画面的示例的说明性示图。
图15是图示出在添加资源时为路由器设定的策略的示例的说明性示图。
图16是图示出根据第二示例性实施例的访问权限管理系统的另一配置示例的框图。
图17是图示出由模板命名装置提供的模板命名画面的示例的说明性示图。
图18是图示出本发明的概要的框图。
图19是图示出根据本发明的访问控制策略模板生成设备的另一配置示例的框图。
图20是图示出根据本发明的访问控制策略管理系统的配置示例的框图。
具体实施方式
以下将参考附图来详细描述本发明的示例性实施例。图1是图示出根据本发明第一示例性实施例的策略模板生成设备的配置示例的框图。如图1中所示,策略模板生成设备100具有策略存储装置110、资源分类装置120、集合间距离计算装置130、群组存储装置140、模板生成装置150和模板存储装置160。
策略存储装置110存储当前设定的访问控制策略的信息。
资源分类装置120参考策略存储装置110中所存储的访问控制策略,并且使用由集合间距离计算装置130计算出的资源间距离作为参考,将运用中的访问控制策略中所记载的每个资源的访问源与动作(以下称为“许可”)的配对的集合编组(生成资源群组)。
群组存储装置140存储由资源分类装置120生成的资源群组的信息。
集合间距离计算装置130从资源分类装置120接收每个资源的许可集合,计算两个许可集合之间的距离并将距离作为资源间距离返回给资源分类装置120。另外,对于本示例性实施例,该资源间距离被用作相似度的倒数。即,资源间距离被计算为这样的距离,随着相应资源的访问权限策略之间不共同的设定内容(对于本示例性实施例,将被许可的访问源和访问方法)增多,该距离也增大。即,这意味着,当资源间距离增大时,相似度(相似程度)减小。
模板生成装置150通过提取由资源分类装置120生成的资源群组中的所有资源之间共同的许可来生成模板。此外,模板存储装置160存储所生成的模板的信息。
模板存储装置160存储由模板生成装置150生成的模板的信息。
另外,对于本示例性实施例,资源分类装置120、集合间距离计算装置130和模板生成装置150例如是由根据例如程序而操作的CPU来实现的。此外,策略存储装置110、群组存储装置140和模板存储装置160是由诸如存储器之类的存储装置实现的。
接着,将描述根据本示例性实施例的操作。图2是图示出根据本示例性实施例的操作的示例的流程图。图2图示出根据本示例性实施例的整体操作示例。如图2中所示,首先,资源分类装置120从策略存储装置110获取访问控制策略(步骤A1)。另外,策略存储装置110中所存储的访问控制策略当前被设定在作为应用模板的目标的系统或设备中。
接着,使用所获取的策略生成资源群组(步骤A2)。此外,资源分类装置120将生成的资源群组的信息存储在群组存储装置140中(步骤A3)。
当资源群组被生成时,模板生成装置150基于群组存储装置140中所存储的资源群组的信息来提取资源群组中的所有资源中共同设定的许可,并且生成模板(步骤A4)。最后,生成的模板被存储在模板存储装置160中并且处理结束(步骤A5)。
接着,将参考图3中的流程图来描述资源分类装置120中的资源群组生成处理。图3是图示出资源群组生成处理的处理流程的示例的流程图。如图3中所示,首先,资源分类装置120将所有资源和许可集合的配对只作为分类树的叶节点,并且生成节点集合N(步骤B1)。
接着,所有资源间距离使用集合间距离计算装置130被计算出并且被设定为相应叶节点之间的距离(步骤B2)。同时,当任意资源是从与等于或低于两个节点的级别的子树中所包括的叶节点相关联的资源集合中提取的并且该资源集合中的两个资源之间的所有距离都被测量,并且叶节点间距离等于相应资源间距离时,则这两个节点之间的距离是最大资源间距离(最远距离)。
此外,步骤B3至B6中的处理被重复直到节点集合中的元素数变为1(在步骤B7中为否)为止。
在步骤B3中,首先,从节点集合N中选择具有最近节点间距离的两个节点(节点A和节点B)。接着,新节点P被生成作为节点A和节点B的父节点(步骤B4)。此外,节点A和节点B被从节点集合N中移除,并且节点P被添加以更新节点集合(步骤B5)。
此外,节点P与节点集合中的每个节点之间的距离被用来更新节点间距离(步骤B6)。
此外,当节点集合中的元素数为1时(在步骤B7中为是),则此时间点构建的资源分类树被输出(步骤B8)。对于所输出的资源分类树,该元素变为该资源分类树的根节点并且所有叶节点被包括在一个分类树中。
资源分类装置120从自集合间距离计算装置130输出的资源分类树中分离出子树,以使得子树中的所有节点之间的距离变为阈值以下,并且将与子树中所包括的叶节点相关联的资源集合生成为一个资源群组(步骤B9)。
接着,将描述集合间距离计算装置130中的叶间距离(即资源间距离)计算方法。集合间距离计算装置130计算跟随两个资源的许可集合之间的不共同元素数的比率的增大而增大的距离。该距离可以根据例如图4中的流程图中所示的方法来计算。
图4是图示出资源间距离的计算处理的处理流程的示例的流程图。如图4中所示,集合间距离计算装置130首先计算两个资源中所设定的并共同存在的许可的数目(步骤C1)。接着,两个资源各自中的许可集合的数目b和c被计算出来(步骤C2)。
最后,使用计算出的数目a、b和c来计算下式1,计算结果作为两个资源之间的距离被输出,并且处理结束(步骤C3)。
式1(b+c-2a)/(b+c)
另外,尽管已经利用了其中使用许可(即访问源和动作的集合)作为比较目标来计算集合见距离的示例来描述了示例,但是也可以仅使用访问源作为比较目标来计算集合间距离。
接着,将进一步描述资源分类装置120中从资源分类树生成资源群组的处理(图3中的步骤B9)。图5是图示出从资源分类树生成资源群组的示例的流程图。
如图5中所示,资源分类装置120首先基于节点间距离来提取作为用于分离资源分类树的每个子树的根节点的节点的集合(以下称为“上层节点”)(步骤D1)。在步骤D1中,需要使用资源分类树的根节点作为变量来调用以下将描述的上层节点生成处理函数。接着,使用每个上层节点作为来自上层节点集合的根节点来生成属于子树的叶节点的集合(步骤D2)。
此外,通过针对每个叶节点集合对与每个叶节点相关联的资源进行编组,生成资源群组(步骤D3)。
接着,将描述步骤D1中的提取上层节点集合的处理。对于本示例性实施例,提取处理通过调用图6中所示的上层节点生成处理来执行。图6是图示出从资源分类树生成上层节点(即提取上层节点集合)的处理的处理流程的示例的流程图。首先,判断被确定为当前上层节点的节点(当前节点)是否是叶节点(步骤E1)。当判定当前节点是叶节点时(在步骤E1中为是),当前节点被添加到上层节点集合(步骤E6)。
与此不同,当判定当前节点不是叶节点时(在步骤E1中为否),当前节点的子节点(以下称为“子节点A和B”)被获取(步骤E2)。此外,参考子节点A和B之间的距离,当该距离在预定阈值以下时(步骤E3中为是),执行步骤E6中的操作。即,当前节点被添加到上层节点集合。
此外,当两个子节点A和B之间的距离大于预定阈值时(在步骤E2中为否),则使用这些子节点A和B作为当前节点来递归地调用上层节点生成函数(可应用函数)(步骤E4和E5)。当所有递归处理结束时,提取上层节点集合的处理结束。
接着,将描述模板生成装置150中从资源群组生成模板的处理。该处理在图2中的步骤A4中被执行。图7是图示出该模板生成处理的处理流程的示例的流程图。
如图7中所示,资源群组中具有最少数目的许可的资源(以下“资源R”)被首先选择(步骤F1)。接着,初始化指针i和模板T,指针i指示资源R中包括的一个许可,并且模板T被输出作为生成结果(步骤F2),并且以下处理被执行。即,判断所有其它资源中是否都包括资源R中的所有许可Pi,并且,如果判定所有其它资源都包括许可Pi,则该许可被添加到该模板T(步骤F3至F7)。
当以上针对资源R中包括的所有许可的处理结束时,模板T被输出并且该模板生成处理结束(步骤F8)。
如上所述,对于本示例性实施例,资源分类装置120生成由许可集合标准的资源群组并基于该策略群组中所包括的策略内容来创建策略模板,以使得可以针对每个服务自动生成策略模板。用该许可集合表征的资源群组与诸如运用中的部门网络服务之类的“允许部门1的人阅览的资源群组”近似,这样可以通过创建针对每个资源群组的模板来生成针对每个资源的模板。
此外,使用将要新添加的资源提供的服务通常是预先确定的,这样,通过生成针对每个服务的策略模板,可以在新资源被添加时容易地选择策略模板。
此外,当模板被创建时,可以学习一个服务中所包括的资源的数目,这样,可以提供例如预测该模板的应用频率的分析支持效果。
此外,如果利用二进制数来进行资源分类,只需要针对两个节点的组合来计算距离,这样,可以以更好的计算量来对资源进行分类。
此外,上述生成资源群组的方法可以生成在阈值以下的所有群组中的具有资源间距离的群组的组合中的最少数目的资源群组的组合,并且因此,可以最小化针对每个资源群组所要生成的模板的数目。这还便利了管理员对模板的选择。
以下,将使用具体示例来描述根据本示例性实施例的操作。图8是图示出具有根据本发明的第一示例的策略模板生成设备的访问权限管理系统的配置示例的框图。图8中示出的访问权限管理系统包括图1中示出的策略模板生成设备100、策略收集装置210、资源登记装置220、模板选择装置230、策略编辑装置240、策略应用装置250、路由器320-1至320-n,连接至路由器的各个资源321(图8中的321-1、321-2……)以及DNS服务器310。
将利用其中收集路由器设定来创建策略模板并使用所创建的策略模板为新资源设定策略的示例来描述系统。
策略收集装置210从各个路由器320收集当前设定的访问控制策略。用于从例如被设定了策略的目标设备收集信息的协议被实现在策略收集装置210中,并且消息根据该协议被发送和接收来收集当前设定的访问控制协议。策略收集装置210例如由发送和接收信息的通信控制单元和根据程序进行操作的CPU实现。
资源登记装置220登记新资源。资源登记装置220具有例如输出画面的功能:该功能用于输入新资源的信息和接收通过键盘输入的信息以及与画面上的用于登记新资源的鼠标操作相应的信息。资源登记装置220例如由各种信息输入/输出单元和根据程序进行操作的CPU实现。
模板选择装置230选择将要应用于新资源的资源。模板选择装置230可以具有用户接口功能,其输出选择性地呈现系统中所保持的并且可应用于新资源的模板的画面,并且接收通过键盘输入的信息以及与画面上的用于选择要应用于新资源的资源的鼠标操作相应的选择结果。模板选择装置230例如由各种信息输入/输出单元和根据程序进行操作的CPU实现。另外,对于本示例,模板选择装置230还用作从策略模板生成设备100获取访问控制策略模板的(接收其输入)的模板输入装置。
策略编辑装置240根据用户操作来编辑通过模板选择装置230选择的模板以创建实际设定的策略。策略编辑装置240可以具有接口功能,该接口功能例如用于显示和改变选定的模板来创建策略。策略编辑装置240例如由各种信息输入/输出单元和根据程序进行操作的CPU实现。
策略应用装置250将由策略编辑装置240基于模板创建的并实际设定的策略(即,应用策略)应用于作为该策略的设置目标的目标设备中。例如,用于在策略应用装置250中反映目标设备中的应用策略的协议被实现,并且消息根据该协议被发送和接收来设置访问控制策略。策略应用装置250例如由发送和接收信息的通信控制单元和根据程序进行操作的CPU来实现。另外,对于本示例,应用策略被转换成ACL(访问控制列表)格式并且被设定在作为该策略的设定目标的路由器中。策略应用装置250例如可以创建反映所要添加的策略的ACL并根据预定协议来向每个路由器发送ACL设定请求以应用附加策略。
接着,将描述根据本示例的操作。对于本示例,用于连接至路由器320-1至320-n的资源320的网络访问控制的ACL被分别设定在路由器中。策略收集装置210收集根据某一方法设定在路由器320-1至320-n中的每一个中的ACL,并将ACL存储在策略模板生成设备100的策略存储装置110中,作为当前设定的策略集合。策略收集装置210例如可以根据预定协议来向每个路由器发送ACL收集请求并接收对收集ACL的请求的响应。
图9是图示出策略存储装置110中所存储的策略集合的示例的说明性示图。对于图9中示出的示例,从哪个IP地址(访问源)哪个协议被提供(动作)给哪个IP地址(资源),即访问源和访问目的地,被相互关联,并被存储作为策略集合(使用资源作为关键字)。另外,对于图9中所示的示例,尽管资源ID被指派给每个资源来识别资源,但是资源ID不是一定需要,并且资源、访问源和动作只需要被相关联地存储。对于本示例,访问源和动作的组合成为“一个许可”。
例如,图9图示出在资源1(IP地址=“192.168.10.10端口80”)中包括具有三个许可{“访问源IP地址”和“动作”}={“192.168.10.100”和“Tcp许可”}、{“192.168.10.101”和“Tcp许可”}、{“192.168.10.102”和“Tcp许可”}的集合的访问控制策略。
此外,图10是图示出从图9中所示的策略集合生成的资源分类树的示例的说明性示图。对于图10中所示的示例,通过向节点A指派资源1、向节点B指派资源2、向节点C指派资源3、向节点D指派资源4并向节点E指派资源5,生成资源分类树。
例如,资源分类装置120在步骤B1中从策略存储装置110获取每个资源的许可集合,并且将节点集合N={A、B、C、D、E}初始化为叶节点(图10中的节点A至E)。
此外,使用集合间距离计算装置130计算资源间距离来作为与每个资源相关联的节点间距离(步骤B2)。例如,对于根据图4中示出的方法的资源1与资源2之间的距离(即,节点A与节点B之间的距离),共同许可的数目a是3,资源1的许可的数目b是3并且资源2的许可的数目c是4,并且根据式1的计算结果是1/7。根据相同的计算,资源1与资源3之间的距离(节点A与节点C之间的距离)与1/7匹配,资源1与资源4之间的距离(节点A与节点D之间的距离)与1匹配,资源1与资源5之间的距离(节点A与节点E之间的距离)与1匹配,资源2与资源3之间的距离(节点B与节点C之间的距离)与1/4匹配,资源2与资源4之间的距离(节点B与节点D之间的距离)与1匹配,资源2与资源5之间的距离(节点b与节点E之间的距离)与3/4匹配,资源3与资源4之间的距离(节点C与节点D之间的距离)以及资源4与资源5之间的距离(节点D与节点E之间的距离)与1/7匹配。
接着,资源分类装置120选择一对最接近的节点(步骤B3)。同时对于具有最近距离的节点配对,(节点A与节点B)、(节点A与节点C)和(节点D与节点E)的节点间距离为1/7,并且在相同值的情况下,仅需要选择一个节点间距离。虽然没有特别指定在相同值的情况下的选择标准,但是选择一对靠前节点编号(节点A和节点B)。
此外,新节点被生成(图10中的节点F)来作为节点A和节点B的父节点(步骤B4)。接着,这些子节点A和B被从节点集合N中移除,并且生成的父节点(节点F)被添加。通过该方式,提供了节点集合={C、D、E、F}(步骤B5)。
接着,针对新节点F更新距离。最远相邻距离被使用,使得节点F与节点C之间的距离是节点B与节点C之间的距离,并且是1/4。类似地,节点F与节点D之间的距离是节点B与节点D之间的距离=1,并且节点F与节点E之间的距离是节点B与节点E之间的距离=1(步骤B6)。在该情况中,节点集合的元素数是4,并且因此步骤返回到步骤B3并且再次选择一对最近的节点。
通过重复步骤B3至B6中的操作,作为节点D和节点E的父节点的节点G以及作为节点F与节点C的父节点的节点H被添加,并且作为节点H与节点G的父节点的节点I被进一步添加。此时,节点集合的元素数为1,并且图10中的资源分类树被构建(步骤B8)。
接着,资源分类装置120执行从所构建的资源分类树创建资源群组的处理。图11是图示出示出作为处理的结果创建的资源群组的信息的示例的说明性示图。图11中示出的信息例如被存储在群组存储装置140中。对于图11中示出的示例,群组存储装置140将示出属于资源群组的资源的信息与用于识别该资源群组的标识符(资源群组ID)相关联地保存。
此外,以下,将参考其中用于分离子树的距离的阈值为0.25的情况为例来描述提取上层节点集合的处理。通过这种方式,资源群组中的所有资源配对之间共有75%以上的许可。
资源分类装置120在上层节点集合的提取处理中首先判断是否将根节点I添加到上层节点集合(图6中的步骤D1)。同时,节点I不是叶节点(图7中的步骤E1中为否),作为节点I的子节点的节点H与节点G之间的距离是1并因此大于0.25的阈值(步骤E3中为否),并且资源分类装置120判定上层节点未被包括在节点I中。
因此,资源分类装置120执行判断是否将作为节点I的子节点的节点H和节点G进一步添加到上层节点集合的处理(步骤E4和E5)。同时,将使用节点G或节点G作为当前节点来重复从E1开始的判决处理。
当使用节点H作为当前节点再次执行判决处理,节点H不是叶节点(步骤E中为否)并且作为子节点的节点F与节点C之间的距离是0.25(步骤E3中为是),因此,资源分类装置120判定将节点H包括在上层节点集合中(步骤E6)。此外,当使用节点G作为当前节点来执行判决处理时,节点G不是叶节点(步骤E中为否),作为子节点的节点D和E之间的距离是0.14(1/7)(步骤E3中为否),因此资源分类装置120判定将节点G包括在上层节点集合中(步骤E6)。根据此处理,{节点H和节点G}作为上层节点集合被输出(步骤E7)。
接着,从使用上层节点集合的每个元素作为根节点的子树生成资源群组。对于本示例,使用节点H作为根节点的子树中所包括的叶节点集合{节点A,节点B和节点C}首先被生成(步骤D3)。此外,与所生成的叶节点集合相关联的资源集合{资源1,资源2和资源3}被生成作为资源群组1(步骤D4)。
接着,使用节点G作为根节点的子树中所包括的叶节点集合{节点D和节点E}在此时被生成(步骤D3),并且与所生成的叶节点集合相关联的资源群组{资源4和资源5}被生成作为资源群组2(步骤D4)。
示出最终生成的资源群组1和2的信息被存储在图11中所示的群组存储装置140中(步骤A3)。
接着,将描述模板生成装置150中从资源群组生成策略模板的处理的具体示例。
模板生成装置150首先生成与资源群组1相关联的模板。当进行生成与资源群组相关联的模板的处理时,首先选择资源群组1的资源中具有最少数目的许可的资源1(步骤F1)。接着,判断相同资源群组1中的所有其它资源中都包括选定资源1中所包括的每个许可(步骤F3)。
同时,判断在资源2和资源3的许可集合中是否包括资源1的许可{“192.168.10.100”和“Tcp许可”}(以下称为“许可1-1”)(步骤F4)。对于本示例,在步骤F4中判断许可1-1是否被包括在资源2和资源3的许可集合中,以使得许可1-1被添加到模板(步骤F5)。
根据相同的处理,针对资源1的另两个许可{“192.168.10.100”和“Tcp许可”}(以下称为“许可1-2”)和{“192.168.10.100”和“Tcp许可”}(以下称为“许可1-3”)进行判决。对于本示例,这两个许可都被包括在资源2和资源3的许可集合中,因此,许可1-2和1-3被添加到模板。
当以上对资源1的所有许可的判决处理结束时,具有许可集合{许可1-1,许可1-2和许可1-3}的模板在此时被生成作为与资源群组1相关联的模板,并且被输出(步骤F8)。
根据相同的处理,生成与资源群组2相关联的模板。对于本示例,根据生成与资源群组2相关联的模板的处理,首先选择资源群组2的资源中具有最少数目的许可的资源4,并且判断各个许可{“192.168.10.105”和“Tcp许可”}(以下称为“许可2-1”)、{“192.168.10.110”和“Tcp许可”}(以下称为“许可2-2”)和{“192.168.10.111”和“Tcp许可”}(以下称为“许可2-3”)是否被包括在资源群组2的所有资源(对于本示例,为资源5)中。
结果,所有许可被包括在资源5的许可集合中,因此许可2-1、2-2和2-3作为模板被添加。当对于资源4的所有许可的判决处理都结束时,具有许可集合{许可2-1,许可2-2和许可2-3}的模板在此时被生成作为与资源群组2相关联的模板,并因此被输出(步骤F8)。
图12是图示出根据此处理生成的策略模板的示例的说明性示图。图12图示出所生成的与图11中所示的资源群组相关联的策略模板的示例。如图12中所示,例如,用于识别模板的ID(模板ID)、用于识别相关联的资源群组的资源群组ID和示出该模板中所包括的许可集合的信息可以作为示出策略模板的信息被关联,并被存储在模板存储装置160中。另外,资源群组ID是用来指代资源群组中所包括的资源并被用作群组存储装置140的索引的信息。另外,不是直接包括资源群组ID,而是可以直接包括资源群组中所包括的资源的信息。
图13是图示出利用以这种方式生成的策略模板来为新资源设定策略的策略设定操作的示例的流程图。对于图13中所示的示例,资源登记装置220首先根据管理员的操作来登记新资源(步骤G1)。在步骤G1中,由管理员通过资源登记装置220输入新资源的IP地址以及(如果必要的话还有)端口号的信息。例如,作为用于新部门1的网络服务器的“192.168.10.30端口80”作为新资源被添加。
接着,模板选择装置230使得管理员选择应用于新资源的策略模板(步骤G2)。图14图示出由模板选择装置230提供的用户接口(更具体地,模板选择画面)的示例。如图14中所示,模板选择画面优选在将要利用的模板被选定时显示相关联的资源群组和许可的信息。
此外,模板选择画面优选显示辅助模板选择的模板名称,并且模板名称优选是基于相关联的资源群组和许可集合的特性给出的。模板名称可以利用例如资源群组中共同的端口号或可使用DNS服务器310获取的访问源的域。
图11中的模板1在资源是端口80(port80)时是共同的,在使用DNS服务器310获取的访问源的域是“bumon1.xxx.com”域时是共同的。在此情况下,模板名称被命名为“用于bumon1.xxx.com的端口80模板”,以使得管理员可以在选择时读取用于部门1的网络服务器模板。
当所要应用的模板被选定时,策略编辑装置240编辑所选定的模板来创建为新资源实际设定的策略(步骤G3)。另外,当该模板被原样应用时,只需要结束处理,而不必执行任何具体的如编辑操作那样的处理。
当创建了被实际设定的策略时,策略应用装置250将所创建的策略设定在路由器中(步骤G4)。通过在路由器中设定策略,针对新资源的网络访问控制设定结束。
当为用作部门1的网络服务器的资源“192.168.10.30端口80”选择了模板1并且在没有编辑的情况下创建了策略时,路由器中所设定的策略如图15中所示。图15是图示出当利用图12中所示的模板1添加资源时在路由器中设定的策略的示例的说明性示图。对于图15中所示的示例,针对“192.168.10.30端口80”的许可集合{{“192.168.10.100”和“Tcp许可”}、{“192.168.10.101”和“Tcp许可”}和{“192.168.10.102”和“Tcp许可”}}被添加到图9中所示的策略集合,作为资源ID=6。
对于本示例,只要采用了收集现有策略并自动生成策略模板的配置,就可以容易地向新资源设定策略而不必预先准备。
此外,图16是图示出根据本发明第二示例的策略模板生成设备中所设置的访问权限管理系统的另一配置示例的框图。如图16中所示,还可以向根据本示例的配置添加模板命名装置170。
模板命名装置170根据用户操作向所创建的模板指派名称。模板命名装置170具有用户接口功能,该用户接口功能例如用于呈现所创建的模板的信息,输出用于输入指派给模板的名称的画面,以及接收通过键盘输入的信息和与该画面上的用于输入模板名称和指派模板的鼠标操作相应的信息。模板命名装置170例如由各种信息输入/输出单元和根据程序进行操作的CPU来实现。
图17是由模板命名装置170提供的用户接口(更具体地,模板命名画面)的说明性示图。如图17中所示,模板命名画面优选不仅显示所创建的模板的信息,还显示资源特性(例如端口号)和许可特性(例如访问源域),作为命名支持信息。
管理员可以基于由模板命名装置170呈现的命名支持信息来确定辅助模板选择的模板名称,并输出名称。例如,在具有共同访问源域“bumon1.xxx.com”和共同资源“端口80”的模板的情况下,模板可以被命名为“用于部门1的网络服务器模板”。
另外,虽然已经描述了图17中所示的策略模板生成设备100具有模板命名装置170的示例,但是模板命名装置170可以作为不同于策略模板生成设备100的设备被安装。被实际安装的设备的手段不受特别限制。
此外,模板命名装置170可以不仅具有根据用户的操作来指派模板名称的功能,还具有使用根据第一示例的模板选择画面上所显示的模板名称、基于上述资源群组和许可集合特性来自动确定模板名称的功能。在此情况下,模板命名装置170提取资源群组和许可集合特性中所包括的资源特性,并将示出这些特性的表述的组合确定为模板名称。
因此,通过使用模板命名装置170向模板指派名称,管理员可以更容易地选择模板。
接着,将描述本发明的概要。图18是图示出本发明的概要的框图。根据本发明的访问控制策略模板生成设备500具有资源编组装置501和模板生成装置502。
当具有为资源限定的访问控制内容的多个访问控制策略被给出时,资源编组装置501(例如资源分类装置120(包括集合间距离计算装置130))基于资源特定的访问控制策略集合之间的相似度来将每个资源分类到一个或多个群组中,该相似度是使用具有多个访问控制策略中的相同访问控制策略的资源特定的访问控制策略集合中所包括的访问控制策略的访问控制内容作为比较目标而计算出的。
模板生成装置502(例如,模板生成装置150)针对每个资源群组,基于为资源群组中所包括的资源限定的访问控制策略的限定内容来生成访问控制策略模板,每个资源群组是由资源编组装置501分类出的一组资源。
模板生成装置502可以例如针对每个资源群组生成访问控制模板,该访问控制模板包括在为该资源群组中所包括的资源限定的访问控制策略之间共同的访问控制内容。
此外,当给出了包括例如示出资源的信息和示出根据访问该资源的访问源以及许可访问该资源的访问方法而限定的访问控制内容的信息的访问控制策略时,资源编组装置501可以基于资源特定的访问控制策略集合之间的相似度来将每个资源分类到一个或多个群组中,该相似度是使用具有相同资源的访问控制策略的资源特定的访问控制策略集合中所包括的访问控制策略的访问控制内容的访问源的信息作为比较目标而计算出的。
此外,作为资源特定的访问控制策略集合之间的相似度,资源编组装置501可以使用指数,该指数随着具有资源特定的访问控制策略集合之间不共同的访问控制内容的访问控制策略的增多而增大。
此外,资源编组装置501可以构建二进制树,该二进制树具有与由多个给定访问控制策略指示的资源一一关联的叶节点,并且被布置为使得当资源特定的访问控制策略集合之间的相似度越小时,节点之间的路径长度越短,并且资源编组装置501对资源进行分类以使得所构建的二进制树中的叶节点间距离在预定距离以下。
此外,图19是图示出根据本发明的访问控制策略模板生成设备的另一配置示例的框图。如图19中所示,访问控制策略模板生成设备100还可以具有模板命名装置503。
模板命名装置503基于当访问控制策略模板被生成时所关联的资源的群组的特性以及在该访问控制策略模板中所包括的访问控制内容的特性,确定要指派给所生成的访问控制策略模板的名称。
此外,图20是图示出作为使用根据本发明的访问控制策略模板生成设备500的示例的访问控制策略管理系统600的配置示例的框图。
访问控制策略管理系统600包括以上访问控制策略模板生成设备500,并且还包括资源登记装置601、模板选择装置602和访问控制策略生成装置603。
资源登记装置601(例如资源登记装置220)登记新资源。模板选择装置602(例如模板选择装置230)根据用户操作,从由访问控制策略模板生成设备500生成的访问控制策略模板中,选择由资源登记装置601登记的并且要应用于新资源的访问控制策略模板。
模板选择装置602(例如策略编辑装置240)根据用户的操作来编辑由模板选择装置602选择的访问控制策略模板,并且生成要应用于资源编组装置501中所登记的新资源的访问控制策略。
虽然已经参考示例性实施例和示例描述了本发明,但是本发明绝不限于以上示例性实施例和示例。本领域技术人员可以理解,可以对本发明的配置和细节作出在本发明的范围内的各种改变。
本申请要求2009年4月10日向日本专利局提交的日本在先专利申请No.2009-96126的优先权,该申请的全部内容通过引用结合于此。
工业应用
本申请适合用于支持访问权限管理系统的策略管理。
标号列表
100策略模板生成设备
110策略存储装置
120资源分类装置
130集合间距离计算装置
140群组存储装置
150模板生成装置
160模板存储装置
170模板命名装置
210策略收集装置
220资源登记装置
230模板选择装置
240策略编辑装置
250策略应用装置
Claims (19)
1.一种访问控制策略生成设备,包括:
资源编组装置,所述资源编组装置在包括为资源限定的访问控制内容的多个访问控制策略被给出时,基于资源特定的访问控制策略集合之间的相似度来将每个资源分类到一个或多个群组中,该相似度是使用在包括所述多个访问控制策略中的相同资源的访问控制策略的资源特定的访问控制策略集合中所包括的访问控制策略的访问控制内容作为比较目标而计算出的;以及
模板生成装置,所述模板生成装置针对每个资源群组,基于为资源群组中所包括的资源限定的访问控制策略的限定内容来生成访问控制策略模板,所述每个资源群组是由所述资源编组装置分类出的一组资源。
2.如权利要求1所述的访问控制策略生成设备,其中,所述模板生成装置针对每个资源群组生成访问控制模板,所述访问控制模板包括在为该组资源中所包括的资源限定的访问控制策略中共同的访问控制内容。
3.如权利要求1或2所述的访问控制策略生成设备,其中,当包括示出所述资源的信息以及示出由访问所述资源的访问源以及许可对所述资源的访问的访问方法所限定的访问控制内容的信息的访问控制策略被给出时,所述资源编组装置基于所述资源特定的访问控制策略集合之间的相似度来将每个资源分类到一个或多个群组中,该相似度是使用在包括所述相同资源的访问控制策略的资源特定的访问控制策略集合中所包括的访问控制策略的访问控制内容的访问源的信息作为比较目标而计算出的。
4.如权利要求1至3中任一项所述的访问控制策略生成设备,其中,所述资源编组装置使用指数作为所述资源特定的访问控制策略集合之间的相似度,该指数随着包括在所述资源特定的访问控制策略集合之间不共同的访问控制内容的访问控制策略的增多而增大。
5.如权利要求1至4中任一项所述的访问控制策略生成设备,其中,所述资源编组装置构建二进制树,该二进制树包括与由给出的所述多个访问控制策略所指示的资源一一关联的叶节点,并被布置为使得当所述资源特定的访问控制策略集合之间的相似度越小时节点之间的路径长度越短,并且所述资源编组装置对所述资源进行分类以使得所构建的二进制树中的叶节点间距离在预定距离以下。
6.如权利要求1至5中任一项所述的访问控制策略生成设备,还包括模板命名装置,所述模板命名装置基于当访问控制策略模板被生成时所关联的该组资源的特性以及所生成的访问控制策略模板中所包括的访问控制内容的特性,确定要指派给所述访问控制策略模板的名称。
7.一种访问控制策略管理系统,包括如权利要求1至6中任一项所述的访问控制策略生成设备,所述访问控制策略管理系统包括:
资源登记装置,所述资源登记装置登记新资源;
模板选择装置,所述模板选择装置根据用户的操作,从由所述访问控制策略生成设备所生成的访问控制策略模板中,选择要应用于所述资源登记装置中所登记的所述新资源的访问控制策略模板;以及
访问控制策略生成装置,所述访问控制策略生成装置根据用户的操作来编辑由所述模板选择装置所选择的访问控制策略模板,并且生成要应用于所述资源登记装置中所登记的所述新资源的访问控制策略。
8.一种访问控制策略生成方法,包括:
当包括为资源限定的访问控制内容的多个访问控制策略被给出时,基于资源特定的访问控制策略集合之间的相似度来将每个资源分类到一个或多个群组中,该相似度是使用在包括所述多个访问控制策略中的相同资源的访问控制策略的资源特定的访问控制策略集合中所包括的访问控制策略的访问控制内容作为比较目标而计算出的;以及
针对每个资源群组,基于为资源群组中所包括的资源限定的访问控制策略的限定内容来生成访问控制策略模板,所述每个资源群组是已分类的一组资源。
9.如权利要求8所述的访问控制策略生成方法,还包括:针对每个资源群组生成访问控制模板,所述访问控制模板包括在为该组资源中所包括的资源限定的访问控制策略中共同的访问控制内容。
10.如权利要求8或9所述的访问控制策略生成方法,还包括:当包括示出所述资源的信息以及示出由访问所述资源的访问源以及许可对所述资源的访问的访问方法所限定的访问控制内容的信息的访问控制策略被给出时,基于资源特定的访问控制策略集合之间的相似度来将每个资源分类到一个或多个群组中,该相似度是使用在包括所述相同资源的访问控制策略的资源特定的访问控制策略集合中所包括的访问控制策略的访问控制内容的访问源的信息作为比较目标而计算出的。
11.如权利要求8至10中任一项所述的访问控制策略生成方法,其中,使用指数作为所述资源特定的访问控制策略集合之间的相似度,该指数随着包括在所述资源特定的访问控制策略集合之间不共同的访问控制内容的访问控制策略的增多而增大。
12.如权利要求8至11中任一项所述的访问控制策略生成方法,还包括:
当所述资源被分类到一个或多个群组中时,构建二进制树,该二进制树包括与由给出的所述多个访问控制策略所指示的资源一一关联的叶节点,并被布置为使得当所述资源特定的访问控制策略集合之间的相似度越小时节点之间的路径长度越短;并且
对所述资源进行分类以使得所构建的二进制树中的叶节点间距离在预定距离以下。
13.如权利要求8至12中任一项所述的访问控制策略生成方法,还包括:基于当访问控制策略模板被生成时所关联的该组资源的特性以及所生成的访问控制策略模板中所包括的访问控制内容的特性,确定要指派给所述访问控制策略模板的名称。
14.一种访问控制策略生成程序,使得计算机执行处理,该计算机包括存储装置,该存储装置存储包括为资源限定的访问控制内容的多个访问控制策略,该计算机执行:
资源编组处理,用于基于资源特定的访问控制策略集合之间的相似度来将每个资源分类到一个或多个群组中,该相似度是使用在包括所述多个访问控制策略中的相同资源的访问控制策略的资源特定的访问控制策略集合中所包括的访问控制策略的访问控制内容作为比较目标而计算出的;以及
模板生成处理,用于针对每个资源群组,基于为资源群组中所包括的资源限定的访问控制策略的限定内容来生成访问控制策略模板,所述每个资源群组是已分类的一组资源。
15.如权利要求14所述的访问控制策略生成程序,使得所述计算机,在所述模板生成处理中,针对每个资源群组生成访问控制模板,所述访问控制模板包括在为该组资源中所包括的资源限定的访问控制策略中共同的访问控制内容。
16.如权利要求14或15所述的访问控制策略生成程序,使得计算机执行如下处理,该计算机包括存储装置,该存储装置存储包括示出所述资源的信息以及示出由访问所述资源的访问源以及许可对所述资源的访问的访问方法所限定的访问控制内容的信息的访问控制策略,该计算机:在所述资源编组处理中,基于资源特定的访问控制策略集合之间的相似度来将每个资源分类到一个或多个群组中,该相似度是使用在包括所述相同资源的访问控制策略的资源特定的访问控制策略集合中所包括的访问控制策略的访问控制内容的访问源的信息作为比较目标而计算出的。
17.如权利要求14至16中任一项所述的访问控制策略生成程序,其中,使用指数作为所述资源特定的访问控制策略集合之间的相似度,该指数随着包括在所述资源特定的访问控制策略集合之间不共同的访问控制内容的访问控制策略的增多而增大。
18.如权利要求14至17中任一项所述的访问控制策略生成程序,使得所述计算机在所述资源编组处理时至少执行:
构建二进制树的处理,该二进制树包括与由给出的所述多个访问控制策略所指示的资源一一关联的叶节点,并被布置为使得当所述资源特定的访问控制策略集合之间的相似度越小时节点之间的路径长度越短;以及
对所述资源进行分类以使得所构建的二进制树中的叶节点间距离在预定距离以下的处理。
19.如权利要求14至18中任一项所述的访问控制策略生成程序,使得所述计算机执行模板命名处理,所述模板命名处理用于基于当访问控制策略模板被生成时所关联的该组资源的特性以及所生成的访问控制策略模板中所包括的访问控制内容的特性,确定要指派给所述访问控制策略模板的名称。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2009-096126 | 2009-04-10 | ||
| JP2009096126 | 2009-04-10 | ||
| PCT/JP2010/001781 WO2010116613A1 (ja) | 2009-04-10 | 2010-03-12 | アクセス制御ポリシテンプレート生成装置、システム、方法およびプログラム |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN102388387A true CN102388387A (zh) | 2012-03-21 |
Family
ID=42935913
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201080016235XA Pending CN102388387A (zh) | 2009-04-10 | 2010-03-12 | 访问控制策略模板生成设备、系统、方法及程序 |
Country Status (4)
| Country | Link |
|---|---|
| US (1) | US20120054824A1 (zh) |
| JP (1) | JP5494653B2 (zh) |
| CN (1) | CN102388387A (zh) |
| WO (1) | WO2010116613A1 (zh) |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103795568A (zh) * | 2014-01-23 | 2014-05-14 | 上海斐讯数据通信技术有限公司 | 一种基于设备管理访问方式控制设备访问的方法 |
| CN105991705A (zh) * | 2015-02-10 | 2016-10-05 | 中兴通讯股份有限公司 | 一种分布式存储系统及其实现资源硬亲和性的方法 |
| WO2020156135A1 (zh) * | 2019-01-28 | 2020-08-06 | 电信科学技术研究院有限公司 | 一种访问控制策略的处理方法、装置及计算机可读存储介质 |
Families Citing this family (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US9081974B2 (en) * | 2011-11-10 | 2015-07-14 | Microsoft Technology Licensing, Llc | User interface for selection of multiple accounts and connection points |
| WO2013121790A1 (ja) * | 2012-02-17 | 2013-08-22 | 日本電気株式会社 | プライバシ情報を扱う情報処理装置、プライバシ情報を扱う情報処理システム、プライバシ情報を扱う情報処理方法及びプログラム |
| US9615346B2 (en) * | 2012-12-05 | 2017-04-04 | Lg Electronics Inc. | Method and apparatus for notifying information change in wireless communication system |
| CN104094618B (zh) * | 2013-01-29 | 2018-09-28 | 华为技术有限公司 | 访问控制方法、装置及系统 |
| EP2962212A4 (en) * | 2013-02-28 | 2016-09-21 | Hewlett Packard Entpr Dev Lp | RESOURCES REFERENCE CLASSIFICATION |
| JP6244774B2 (ja) * | 2013-09-24 | 2017-12-13 | 日本電気株式会社 | アクセス制御装置、アクセス制御方法、及びアクセス制御プログラム |
| CN107145337B (zh) * | 2016-03-01 | 2021-06-29 | 中兴通讯股份有限公司 | 一种数据流处理芯片的表项访问方法及装置 |
| US10410009B2 (en) | 2016-03-08 | 2019-09-10 | Oracle International Corporation | Partial-context policy enforcement |
| US10924467B2 (en) * | 2016-11-04 | 2021-02-16 | Microsoft Technology Licensing, Llc | Delegated authorization for isolated collections |
| US10514854B2 (en) | 2016-11-04 | 2019-12-24 | Microsoft Technology Licensing, Llc | Conditional authorization for isolated collections |
| US11671462B2 (en) | 2020-07-23 | 2023-06-06 | Capital One Services, Llc | Systems and methods for determining risk ratings of roles on cloud computing platform |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20070171466A1 (en) * | 2006-01-24 | 2007-07-26 | Canon Kabushiki Kaisha | Image processing system and its management method |
| JP2007213208A (ja) * | 2006-02-08 | 2007-08-23 | Nippon Telegr & Teleph Corp <Ntt> | ポリシ設定装置 |
Family Cites Families (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7305562B1 (en) * | 1999-03-09 | 2007-12-04 | Citibank, N.A. | System, method and computer program product for an authentication management infrastructure |
| GB9912494D0 (en) * | 1999-05-28 | 1999-07-28 | Hewlett Packard Co | Configuring computer systems |
| US6539483B1 (en) * | 2000-01-12 | 2003-03-25 | International Business Machines Corporation | System and method for generation VPN network policies |
| WO2003003177A2 (en) * | 2001-06-29 | 2003-01-09 | Bea Systems, Inc. | System for and methods of administration of access control to numerous resources and objects |
| US7031967B2 (en) * | 2001-08-06 | 2006-04-18 | Sun Microsystems, Inc. | Method and system for implementing policies, resources and privileges for using services in LDAP |
| US20030233378A1 (en) * | 2002-06-13 | 2003-12-18 | International Business Machines Corporation | Apparatus and method for reconciling resources in a managed region of a resource management system |
| JP4393774B2 (ja) * | 2003-02-28 | 2010-01-06 | 株式会社日立製作所 | ジョブ管理方法、情報処理システム、プログラム、及び記録媒体 |
| JP2007072581A (ja) * | 2005-09-05 | 2007-03-22 | Nippon Telegr & Teleph Corp <Ntt> | ポリシ集合生成装置とその制御方法 |
| US20110010754A1 (en) * | 2008-03-10 | 2011-01-13 | Yoichiro Morita | Access control system, access control method, and recording medium |
| US8112370B2 (en) * | 2008-09-23 | 2012-02-07 | International Business Machines Corporation | Classification and policy management for software components |
-
2010
- 2010-03-12 JP JP2011508202A patent/JP5494653B2/ja active Active
- 2010-03-12 CN CN201080016235XA patent/CN102388387A/zh active Pending
- 2010-03-12 US US13/262,955 patent/US20120054824A1/en not_active Abandoned
- 2010-03-12 WO PCT/JP2010/001781 patent/WO2010116613A1/ja active Application Filing
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20070171466A1 (en) * | 2006-01-24 | 2007-07-26 | Canon Kabushiki Kaisha | Image processing system and its management method |
| JP2007213208A (ja) * | 2006-02-08 | 2007-08-23 | Nippon Telegr & Teleph Corp <Ntt> | ポリシ設定装置 |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103795568A (zh) * | 2014-01-23 | 2014-05-14 | 上海斐讯数据通信技术有限公司 | 一种基于设备管理访问方式控制设备访问的方法 |
| CN105991705A (zh) * | 2015-02-10 | 2016-10-05 | 中兴通讯股份有限公司 | 一种分布式存储系统及其实现资源硬亲和性的方法 |
| WO2020156135A1 (zh) * | 2019-01-28 | 2020-08-06 | 电信科学技术研究院有限公司 | 一种访问控制策略的处理方法、装置及计算机可读存储介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| JPWO2010116613A1 (ja) | 2012-10-18 |
| US20120054824A1 (en) | 2012-03-01 |
| WO2010116613A1 (ja) | 2010-10-14 |
| JP5494653B2 (ja) | 2014-05-21 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN102388387A (zh) | 访问控制策略模板生成设备、系统、方法及程序 | |
| CN107241319B (zh) | 基于vpn的分布式网络爬虫系统及调度方法 | |
| CN104717124B (zh) | 一种好友推荐方法、装置及服务器 | |
| CN105103506B (zh) | 用于为云计算网络中的非均匀带宽请求分配带宽的方法和系统 | |
| CN101473605B (zh) | 用于确定因特网服务供应商的预期对等合作者的方法 | |
| CN110519090B (zh) | 一种fpga云平台的加速卡分配方法、系统及相关组件 | |
| CN110287688A (zh) | 关联账号分析方法、装置和计算机可读存储介质 | |
| CN114090244B (zh) | 一种服务编排方法、装置、系统及存储介质 | |
| KR101858715B1 (ko) | 서비스자원 관리시스템 및 그 방법 | |
| CN102904824B (zh) | 服务提供实体选择方法及装置 | |
| KR101874862B1 (ko) | 서비스 비용을 위한 지능형 검색시스템 및 그 방법 | |
| CN104378270A (zh) | 一种组网数据中心系统及方法 | |
| CN110225039A (zh) | 权限模型获取、鉴权方法、网关、服务器以及存储介质 | |
| CN109756584A (zh) | 域名解析方法、域名解析装置及计算机可读存储介质 | |
| CN111611076B (zh) | 任务部署约束下移动边缘计算共享资源公平分配方法 | |
| CN109690571A (zh) | 基于学习的组标记系统和方法 | |
| CN108076112A (zh) | 一种宿主机调度方法及装置 | |
| CN103514412B (zh) | 构建基于角色的访问控制系统的方法及云服务器 | |
| Li et al. | A load balancing algorithm for solving multi‐objective virtual network embedding | |
| CN105988998A (zh) | 关系网络构建方法及装置 | |
| CN108280176A (zh) | 基于MapReduce的数据挖掘优化方法 | |
| CN108256083A (zh) | 基于深度学习的内容推荐方法 | |
| CN109447490B (zh) | 一种基于用户地址的户变关系异常判别方法 | |
| Sha et al. | Estimating linking preferences and behaviors of autonomous systems in the Internet using a discrete choice model | |
| CN108846092A (zh) | 一种树形主页系统和主页管理方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C02 | Deemed withdrawal of patent application after publication (patent law 2001) | ||
| WD01 | Invention patent application deemed withdrawn after publication |
Application publication date: 20120321 |