CN102473229B - 访问控制列表的修改 - Google Patents
访问控制列表的修改 Download PDFInfo
- Publication number
- CN102473229B CN102473229B CN201080036676.6A CN201080036676A CN102473229B CN 102473229 B CN102473229 B CN 102473229B CN 201080036676 A CN201080036676 A CN 201080036676A CN 102473229 B CN102473229 B CN 102473229B
- Authority
- CN
- China
- Prior art keywords
- acl
- access control
- control list
- main body
- logical expression
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/604—Tools and structures for managing or administering access control systems
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Bioethics (AREA)
- General Health & Medical Sciences (AREA)
- Computer Hardware Design (AREA)
- Health & Medical Sciences (AREA)
- Software Systems (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Automation & Control Theory (AREA)
- Storage Device Security (AREA)
Abstract
在一种用于通过对逻辑表达式(LE)进行赋值来修改访问控制列表(ACL)的基础许可的方法中,将主体的名称与对象的访问控制列表条目进行比较以确定主体的基础许可。确定具有LE条目的ACL条目。LE条目被赋值以确定对于主体的LE属性而言哪些LE条目为真。组合LE条目的集合运算符以具有单个并集ACL、交集ACL以及替换ACL。利用替换ACL执行替换操作以替换基础许可,形成第一输出。如果没有替换ACL,基础许可是第一输出。对第一输出和并集ACL执行并集操作,形成第二输出。如果没有并集ACL,第一输出是第二输出。对第二输出和交集ACL执行交集操作,形成第三输出。如果没有交集ACL,第二输出的许可是第三输出。
Description
背景技术
示例性实施方式涉及访问控制列表,并且更具体地,涉及借助于对与访问控制列表相关联的逻辑表达式进行赋值对访问列表的动态增强、缩减和/或替换。
随着不同技术的成熟,更多的业务决定利用分布式技术来改进其业务过程。很多时候,这些分布式技术被用于扩展业务的范围以超出本地区域。因特网和其他网络可为该扩展提供基础设施。当使用信息技术作为所有业务操作的主干时,必需解决的基础且极端必要的问题是访问控制。概念上,访问控制包括确保主体实体具有足够的权限执行针对对象的操作。适当地设置访问控制以及建立足够的安全过程这二者都是容易理解的,但还应存在其他特征可用。
发明内容
根据一个示例性实施方式,提供一种方法,用于通过在服务器上对逻辑表达式进行赋值来修改访问控制列表的基础许可。服务器通过将主体的名称与对象的访问控制列表条目进行比较来确定主体的基础许可。服务器维护用于对象的访问控制列表条目,其包括基础条目和逻辑表达式条目。逻辑表达式访问控制列表条目还包括下列集合运算符中的一个:并集、交集或替换。除了确定什么基础条目应用于该主体之外,服务器利用该主体的逻辑表达式的属性来确定用于对象的访问控制列表条目的逻辑表达式条目。逻辑表达式条目被赋值以确定对于主体的逻辑表达式属性而言哪个逻辑表达式条目为真。对于为真的逻辑表达式条目,服务器组合逻辑表达式条目的集合运算符以具有单个并集访问控制列表、单个交集访问控制列表以及单个替换访问控制列表。响应于存在替换访问控制列表,服务器执行替换操作以利用替换访问控制列表来替换由基础条目限定的基础许可,并且替换操作的结果是第一输出。响应于不存在替换访问控制列表,基础许可是第一输出。响应于存在并集访问控制列表,服务器对第一输出和并访问控制列表执行并集操作,并且并集操作的结果是第二输出。响应于不存在并集访问控制列表,第一输出是第二输出。响应于存在交集访问控制列表,服务器对第二输出和该交集访问控制列表执行交集操作,并且交集操作的结果是第三输出。响应于不存在交集访问控制列表,第二输出是第三输出。服务器提供第三输出作为用于主体的有效权限。
附图说明
现在将仅通过举例,参考附图说明本发明的实施方式,其中
图1所示为根据示例性实施方式的框图。
图2和图3所示为根据示例性实施方式的流程图。
图4所示为根据示例性实施方式的主体访问图的概念视图。
图5所示为根据示例性实施方式的Venn图。
图6所示为具有可以包括在示例性实施方式中的能力的计算机的示例。
具体实施方式
对于访问控制,考虑请求实体的位置通常没有考虑实体的名称那样简单。当扩展超出所在地区时,国际和本地法律可以影响业务的操作。内联网和防火墙技术也可能引入与实体请求许可不同的位置。如示例性实施方式中所述,访问控制应当能够根据主体位置而改变主体的权限。此外,在示例性实施方式中,请求的时间也应在确定主体的权限中发挥一定作用。
如同将要看到的,时间和位置仅仅是作为在授权期间的因素的主体属性的示例。如示例性实施例中所述,正是这些属性组成了逻辑表达式属性。例如,逻辑表达式属性可以包括主体的1-N个名称、0-N个组名称、主体的IP地址、日、时间、主体的连接类型、认证机制等等的集合。此外,实现逻辑表达式属性的管理员可以包括所需的其他逻辑表达式属性。
在图1中,通信设备15可操作用于与一个或多个服务器20通过网络30通信。通信设备15例如可以包括但不限制:移动电话、陆地电话、智能电话、软电话、个人数字助理、机顶盒(STB)、电视机(TV)、游戏控制台、MP3播放器、计算机和服务器。
此外,对于网络30,网络30可以包括用于实施通信的电路交换和/或分组交换技术和设备,例如路由器、交换机、集线器、网关等等。网络30可以包括使用例如IEEE802.11标准提供空中通信传输的有线和/或无线网络组件。网络30可以包括用于在客户服务中心和客户/用户之间通信的基于IP的网络。网络30可以管理特定用户建立的多个账户。这些账户则可以用于提供对如在此描述的服务的访问。而且,网络30可以包括使用例如多媒体消息传送服务(MMS)标准的有线和/或无线组件。网络30可以包括多媒体消息传送中心(MMC),其实现多媒体消息传送服务(MMS)的网络侧,并且支持运营商向移动通信设备用户提供多媒体消息传送。网络30可以包括受管理的IP和/或服务提供商管理的无线网络,其可以控制在此描述的通信的带宽和服务质量。网络30可以实现为无线方式,例如,使用WiMAXTM、等无线协议和技术。网络30还可以是分组交换网络,例如局域网、广域网、城域网、因特网或其他类似类型的网络。网络30可以是蜂窝通信网络、固定无线网络、无线局域网(LAN)、无线广域网(WAN)、个人域网络(PAN)、虚拟专网(VPN)、内联网或任何其他适合的网络,并且网络30可以包括用于接收和发送信号的设备,例如蜂窝塔、移动交换中心、基站和无线接入点。
根据示例性实施方式,工作站10上和/或服务器20上的访问控制模块130可被用于对服务器20上的数据进行编程、设置权限。工作站10可直接连接到服务器20,与服务器20集成,和/或可通过网络30连接到服务器20。此外,服务器20可整体和/或部分地包括访问控制模块130以及可与访问控制模块130接口。
例如,管理员可以使用工作站10和/或服务器20上的访问控制模块130来设置对象120的访问控制。出于说明目的,对象120被示出在服务器20上。但是,对象120可以在其他服务器20上。而且,对象120可以代表使用通信设备15的主体5可能将要访问的各种应用、程序、数据库、服务器等等。应当理解,被示为在服务器20上的对象120并非意在限制,其被描绘在服务器20上仅仅是为了示范。出于示范目的,访问控制模块130、对象120以及数据库115耦合到服务器20的存储器30。存储器30是具有处理器可处理的计算机可执行指令的计算机可读介质。
在示例性实施方式中,主体5和通信设备15可以互换地使用,因为主体5正试图使用通信设备15访问对象120。因此,如果使用主体5,主体5可代表主体5和通信设备15。同样,如果使用通信设备15,通信设备15可代表主体5和通信设备15,因为主体5使用通信设备15访问对象120。使用访问控制模块130的管理员必须建立用于主体5的权限(例如事先建立)。该管理任务可使用例如通配符,设置位置、证书和/或时间要求和权限集合的其他逻辑表达式属性的机制。继而,例如主体5的请求实体在给定时刻从例如通信设备15所在位置的远处位置出示其证书以用于认证。根据示例性实施方式,一旦经过认证,则在对针对对象120的访问请求进行授权时将会使用该实体的证书、时间和位置。
示例性实施方式提供了一种确定例如主体5的请求实体的权限的新方法。如这里所讨论的,当例如将时间和位置纳入考虑时,该方法将为管理员提供更多的灵活性并且简化管理员建立主体5的权限的过程,并且确定权限的过程提供灵活性。
在确定用于授权检查的权限之前,管理员可以使用访问控制模块130来利用关联的数据库类型过滤器和计算运算符来限定权限集合。这些过滤器可以使用位置、证书和时间属性以及其他LEA来限定。本领域技术人员会理解可使用更复杂的过滤器,并且在此提供的示例仅用于举例说明之目的。此外,访问控制模块130的这些过滤器可包含关系型谓词和逻辑运算符,如AND(与)、OR(或)和NOT(非)。例如,IP=192.*AND SUBJECT=login1 AND DAY>=May27th and DAY<May 28th。
当执行授权检查以计算主体5在该(具体)给定时间请求访问对象120可用的最终有效权限集合时,访问控制模块130使用计算运算符。给出示例性实施方式的这个灵活性,确定主体5的权限的过程不是现有技术系统中存在的那种检索活跃权限集合的关键字之类的基本查找。相反,访问控制模块130的处理可解释为如下操作:
1.例如使用关键字之类的查找来确定基础权限。
2.对于给定位置、主体和日的时间以及其他LEA,收集其过滤器赋值为TRUE(真)的所有可用权限集合。
3.使用与步骤1的结果相关联的运算符,增量式结合步骤1的所有结果,以建立针对主体、位置和时间以及其他LEA的已授予权限。然后,该已授予权限被用于执行授权和/或拒绝访问请求。
与现有技术的系统依赖于表之类的查找不同,示例性实施方式通过访问控制模块130将权限的确定作为增量式过程来执行。根据主体5的控制模块103确定的当前逻辑表达式属性,增量式过程是动态的。该增量式过程使管理员能够减少他们为了授权检查所需的权限而必须限定的规范的数目。
作为一个示例,考虑如下情况:针对给定对象120的访问控制需要很多非常精细粒度的权限规范。很多精细粒度的规范与可能主体和关联LEA的较大域相结合,将需要针对主体和LEA的集合的每个可能排列的有效集合的显式规范。通常,有效权限的不同集合具有边界区别。类似于限定用于将很大的域映射到很大范围的规则的数学函数,访问控制模块130的增量式过程将允许管理员把大范围的主体和LEA表示为有效的权限,而不必显式指定每个映射。例如,使用访问控制模块130,管理员可以为IP=1.2.3.*设置一个新的LEACL,而不是更新具有IP IP=1.2.3.*的每一个已有主体和群组ACL。
出于说明目的,服务器20可以是轻量级目录访问协议(LDAP)服务器。LDAP服务器是分布式应用管理访问控制的清楚的示例。示例性实施方式可以由LDAP服务器产品实现,但是示例性实施方式不限于LDAP服务器。在示例性实施方式的LDAP服务器20中,主体5由证书表示。证书由在绑定时间请求访问的实体(主体和通信设备15)提交。通信设备15上的主体5可与服务器20通信以请求对访问对象120的许可,而且访问控制模块130与主体5的通信设备15对接以获得证书。例如,服务器20的访问控制模块130接收的证书可以包括绑定标识名称(DN)(或主体名称)和口令、X.509证书和/或Kerberos票据。这些证书可以是群组的成员。例如,主体5的证书可以被作为一个或多个群组的部分的访问控制模块130识别。作为成员,主体5的证书可以继承授予群组的权限。权限是访问控制列表(ACL)许可,并且对象(例如,对象120)是例如数据库115中的LDAP实体。因此,主体5可以具有一个或多个主体名称和/或群组名称。LDAP管理员必须为数据库115中的条目和/或条目集合设置显式ACL许可。管理员必须为每个允许的证书和/或具有成员的群组设置ACL。
下面的示例示出了一个LDAP条目(例如,对象120),其具有2个基础ACL条目(例如,基础ACL条目150)和具有ACL过滤器(例如,逻辑表达式ACL条目170、175和/或180)的一个ACL条目。在此示例中,LEA可以是:
ibm-filterMechanism,ibm-filterTimeOfDay,ibm-filterIP.
dn:ou=Second Tier,ou=Male Olympians,o=Olympians,o=Olympia,o=sample
objectclass:organizationalunit
ou:Second Tier
description:second tier Olympians
aclentry:access-id:CN=DIONYSOS,OU=SECONDTIER,OU=MALE OLYMPIANS,
O=OLYMPIANS,o=Olympia,o=sample:
normal:rsc:object:ad
aclentry:access-id:CN=HERMES,OU=SECOND TIER,OU=MALE OLYMPIANS,
O=OLYMPIANS,o=Olympia,o=sample:normal:rsc
aclentry:access-id:CN=HERA,OU=FEMALE OLYMPIANS,O=OLYMPIANS,
o=Olympia,o=sample:object:ad:normal:
rwsc:sensitive:rwsc:critical:rwsc
aclentry:aclFilter:(&(&(ibm-filterMechanism=SIMPLE)(ibmfilterIP=127.0.0.1))(&(ibm-filterDayOfWeek<=6)
(ibmfilterTimeOfDay>=00:00))):intersect:normal:rwsc:at.cn:deny:w:restricted:rs
通过使用从通信设备15上的主体5获得的证书,访问控制模块130可从数据库115建立基础ACL条目150。可以通过匹配来自数据库115中的主体5的属性来建立基础ACL条目150。考虑可从大量不同的IP地址使用证书的情况。在具有现有技术系统的这种情况下,不同的IP地址将导致要求很多不同的ACL许可条目,并且安全管理员难以保证用于证书的所有IP地址满足安全要求。
然而,示例性实施方式可以使用ACL匹配属性,但是除了对给定的属性设置特定的ACL之外,访问控制模块130被配置用于基于逻辑表达式属性(包括通信设备15的IP地址、证书、认证机制、通信设备15的访问日期和/或通信设备15的访问日和/或通信设备15的访问时间)而增量式更新基础ACL许可155。根据示例性实施方式,访问控制模块130的增量式更新包括:
1.当使用并集关键字时基础ACL许可150的增强;
2.当使用交集关键字时基础ACL许可150的缩减;以及
3.当使用替换关键字时基础ACL许可150的替换。
有时仅仅出于说明目的,可以参照IP地址来描述示例,本领域技术人员理解:示例性实施方式不限于IP地址。
在示例性实施方式中,基础ACL条目150与用于试图访问主体120的主体5的基础ACL权限/许可对应和/或相关。而且,逻辑表达式(LE)ACL条目160与逻辑表达式(LE)ACL权限/许可对应和/或相关。同样,总并集ACL条目170、总交集ACL条目175和总替换ACL条目180与总并集ACL权限/许可170、总交集ACL权限/许可175和总替换ACL权限/许可180对应和/或相关。以上词语可以如本领域技术人员所理解的互换地在本公开中使用。
在示例性实施方式中,对于给定的LEA,例如IP地址、证书、授权机制和/或访问时间,访问控制模块130的并集关键词允许管理员确保最小的许可集合。交集关键字允许管理员在当且仅当基础ACL许可150授予许可的情况下缩减许可集合,同时保证只有特定的许可是可用的。
根据示例性实施方式,通过使用访问控制模块130,当前的ACL规范可被扩展以包括逻辑表达式,逻辑表达式被指定为查找过滤器字段和附加集合操作字段(例如,在数据库115中)。访问控制模块130将查找过滤器字段与主体及其LEA以及数据库115的附加操作字段进行比较,以便增量式创建逻辑表达式(LE)ACL条目160。访问控制模块130使用LE ACL条目160来确定LE许可160。作为示例,规范可以更新为类似下列:
aclEntry:[access-id:|group:|role:]subject_DN:granted_rights|
aclFilter:filter:operation:granted_rights(方括号代表可选项)
其中:
operation(运算):-并集|交集|替换
filter(过滤器):-基本LDAP查找过滤器将包含谓词,其可使用代表主体LEA的属性。例如,可使用下列属性:
ibm-filterIP
ibm-filterDayOfWeek
ibm-filterTimeOfDay
rights:-标准ACL规范,即,不同类型的LDAP对象规范的许可的集合,可以包括清楚的许可拒绝。
图4所示为根据示例性实施方式主体访问图400的概念视图。概念上,ACL确定过程可解释如下。
给定可用于证书的基础ACL条目150,访问控制模块130确定ACL许可150的基础集合。给定基础ACL条目150,基础ACL许可150代表现有技术系统。
注意,根据示例性实施方式,给定基础ACL条目150,基础ACL许可150不考虑ACL中的新过滤器字段以及数据库115中的新匹配属性。示例性实施方式允许迁移(附加的)安装无需修改现有的ACL规范基础ACL条目150。给定匹配逻辑表达式属性(证书、访问时间、IP地址、认证机制等),访问控制模块130收集其过滤器被赋值为TRUE的任何逻辑表达式(LE)条目150。考虑下列两个示例:
第一,主体5在星期六(表示为数字6)与星期日(表示为数字0)之间尝试访问,缩减权限aclentry:aclFilter:(|(ibm-
filterDayOfWeek=0)(ibm-filterDayOfWeek=6)):
intersect:critical:rwsc:restricted:rwsc
第二,具有相同计算机(例如,通信设备15)的主题5在星期一到星期五进行访问,保证最小的权限集合aclentry:aclFilter:(&
(ibm-filterIP=127.0.0.1)(ibm-filterDayOfWeek>=1)
(ibm-filterDayOfWeek<=5):UNION:critical:rwsc:restricted:rwsc
如果多个ACL条目过滤器被赋值为TRUE,访问控制模块130对相同操作类型的所有权限求并集,以便设置用于主体5的交集、并集和替换操作类型的一个不同的代表性ACL条目。即,对于每个操作,访问控制模块130确定用于主体5的总并集ACL条目170、总交集ACL条目175和总替换ACL条目180,并将其分组在一起。如图1所见,LE ACL条目160包括用于主体5的总并集ACL条目170、总交集ACL条目175和总替换ACL条目180。
访问控制模块130可以将代表性的总交集ACL条目175、代表性的总并集ACL条目170以及代表性的总替换ACL条目180中的每一个按如下顺序应用于基础ACL条目150:
1.如果访问控制模块130从数据库115获得总替换ACL条目180,访问控制模块130可以利用主体5的总替换ACL条目180许可替换基础ACL条目150。
2.如果访问控制模块130从数据库115获得总并集ACL条目170,访问控制模块130可以将总并集ACL条目170许可并入从操作1产生的许可集合,或者在没有总替换ACL条目180的情况下并入基础ACL条目150。
3.如果访问控制模块130从数据库115获得总交集ACL条目175,访问控制模块130可以将交集ACL许可175与操作2产生的许可集合求交。如果在操作2未产生许可集合,访问控制模块130将总交集ACL许可175与操作1产生的许可集合求交。如果没有总替换ACL条目180和/或总并集ACL条目170,访问控制模块130将总交集ACL条目175与基础ACL条目150求交。
操作3的结果是最终有效ACL。在访问控制模块130的增量式计算过程中,对许可的任何显式拒绝将不会被消除。最后,显式拒绝许可将被设置在最终有效的ACL中并且由此影响授权。
为了确定通信设备15上的主体5对于对象120的最终有效ACL权限/许可,图示了下列示例(图4中未示出):
对象→访问控制列表(ACL)={{所有基础ACL条目}U{所有逻辑表达式ACL条目}}。
根据示例性实施方式,这个增量式方法将简化管理员在加强安全需求上的付出。设置基础ACL和使用新的关键字可减少规定多个、冗余ACL规范的必要性。
现在参见图2和图3,图2和图3示出了根据示例性实施方式的流程图200。
在205,通过与访问控制模块130通信,主体5使用通信设备15寻找和请求访问服务器20的对象120。主体5可以向访问控制模块130输入多种证书,例如区别名称(DN)。
在210,访问控制模块130可以将主体5的区别名称(DN)与数据库115中所有ACL条目进行比较,如果发现一个匹配,访问控制模块130可以标识DN=匹配的所有主体DN的集合。
在215,如果没有主体5DN匹配,访问控制模块130可以将主体5所属的任何群组DN与数据库115中所有ACL条目进行比较,如果发现一个匹配,访问控制模块130可以标识DN=匹配的所有群组DN的集合。
在220,访问控制模块130可操作以确定基础ACL=来自操作210或操作215的所有匹配的ACL条目的并集。操作220的结果是基础ACL条目150。
在225,访问控制模块130可操作以确定用于对象120的、具有逻辑表达式的所有ACL条目。操作225的结果是LE表达式ACL条目160。
在230,访问控制模块130可操作以通过使用适用于主体5的逻辑表达式属性的集合来为用于对象120的、具有逻辑表达式的所有LE ACL条目160赋值。访问控制模块130针对主体5而赋值的逻辑表达式属性包括:通信设备15的IP地址、主体5试图访问对象120的日期、主体5试图访问对象120的日期、通信设备15到服务器20的连接类型和/或认证机制。注意,根据示例性实施方式,管理员可以决定不同的LEA集合。例如,访问控制模块130可以确定以下逻辑表达式是否为真并且提供其中的权限:(IP=192.5.1.2ANDTime>5am AND Day=Monday):INTERSECT→{Write,Delete}
在235,访问控制模块130可操作以对具有类似集合运算符等(例如INTERSECT、UNION和REPLACE)的、其表达式赋值为真的所有ACL条目求并集,以针对每个运算符而具有一个ACL。例如,数据库115中用于赋值为真的LE ACL条目160中具有并集运算符的对象120的所有ACL条目被访问控制模块130组合以形成总并集ACL条目170。类似地,赋值为真的LE ACL条目160中具有交集运算符的所有ACL条目被组合以形成总交集ACL条目175。同样,赋值为真的LE ACL条目160中具有替换运算符的所有ACL条目被组合以形成总替换ACL条目180。
除了图2和图3,还将参考图5。图5所示为描述示例性实施方式的特征的Venn图。在图5中,框500显示了基础ACL条目150、总逻辑表达式并集ACL条目170、总逻辑表达式交集ACL条目175和/或总逻辑表达式替换ACL条目180。
在确定包括总并集条目170、总交集条目175和/或总替换条目180的LE ACL条目160赋值为真之后,访问控制模块130继续使用这些总条目170、175和180增量式地确定主体5的权限。访问控制模块130可以对以下表达式赋值:在240,如果发现替换ACL,则仅丢弃基础ACL,且使用替换ACL;否则使用基础ACL继续;并且如果没发现基础ACL,使用空ACL继续。参见图5,框505描述了访问控制模块130可以执行替换操作以用总逻辑表达式替换ACL条目180替换基础ACL条目150。
访问控制模块130可操作以对下列表达式赋值:在245,如果发现并集ACL,对并集ACL和来自操作240的结果执行并集操作,如果未发现并集ACL,使用来自操作240的结果继续。参见图5,框510描述了访问控制模块130可以执行并集操作以对框505的结果与总逻辑表达式并集ACL条目170求并集。
访问控制模块130可操作以对以下表达式赋值:在250,如果发现交集ACL,对交集ACL和来自操作245的结果执行交集操作,并且如果未发现交集ACL,使用来自操作245的结果继续。参见图5,框515描述了访问控制模块130可以执行交集操作以便对框510的结果与总逻辑表达式交集ACL条目175求交。
在255,访问控制模块130可操作以从操作250获得结果作为最终有效ACL。参见图5,框520描述了主体5使用通信设备15的最终有效ACL条目。最终有效ACL条目是主体5的权限/许可。
在260,访问控制模块130可以使用最终有效ACL以允许或拒绝主体访问服务器20上的对象120。例如,对于给定的主体5及其逻辑表达式属性,替换、并集和/或交集结果的过程形成专用于对象120的权限集合。这些权限支配主体5可以做或不可以做什么。
在示例性实施方式中,对象120是通过访问控制列表保护的资源。作为一个示例,对象120可以是驻在服务器20上的多种网页,且主体5请求访问服务器20的网页。主体,例如主体5和/或通信设备15,是寻找访问对象的实体。主体具有N个身份和/或区别名称(DN)的集合。组是N个主体的集合,且该组用其自己的DN识别。
权限是被授权或被拒绝的许可。集合运算符是交集、并集和/或替换之一。访问控制列表(ACL)是唯一N主体/组DN到权限映射条目和/或逻辑表达式+集合运算符到权限映射条目的列表。例如:
Subj1→{Read,Write,Copy}
Group2→{Delete,Rename,Update;Deny Read}
{IP=192.5.1.2 AND Time>5am AND Day=Monday):INTERSECT→
{Write,Delete}
对于每个对象,LEA由访问控制模块130限定。逻辑表达式条目和基础ACL条目链接到该对象。LEA对应于主体。主体的LEA用于对链接到该对象的逻辑表达式ACL条目赋值。
此外,对于集合运算符类型,下面是对交集运算符的限定:集合A与集合B求交集=集合C,其中集合C仅包含既在A中又在B中的元素。以下是交集运算符的示例:{A,B,C,D}与{B,C,E,F}求交集={B,C}。交集运算符导致主体的权限缩减,除非被求交集的两个集合是相同的。
下面是对并集(union)运算符的限定:集合A与集合B求并集=集合C,其中集合C包含A或B中的元素。以下是并集运算符的示例:{A,B,C,D}与{B,C,E,F}求并集={A,B,C,D,E,F}。并集运算符导致主体的权限增强,除非求并集的两个集合是相同的。
替换操作用替换许可的逻辑表达式的许可替换基础权限,且在基础权限和替换权限之间不必有匹配。
在示例性实施方式的一个实现中,当基础ACL条目的基础许可与总并集ACL条目、总交集ACL条目和总替换ACL条目的权限组合时,首先执行替换操作,第二执行并集操作,以及第三执行交集操作。
参见图1,示例性实施方式不限制于但能实现为图1所示的框图100。此外,服务器20可以是各种服务器的代表。通信设备15和主体5可以是各种通信设备和主体的代表,其表示实体。工作站10和网络30可以是各种工作站和网络的代表。而且,对象120可以是各种资源的代表。因此,图1所示的框图100既不在数目上限制于此处所述的元件也不限制于元件的确切配置和可用连接。此外,本领域技术人员会理解可对图1的系统100中所述的元件进行增加、减少和代替。而且,服务器20、通信设备15和工作站10可实现在如图6所述的基于处理器的计算机系统中,以及根据示例性实施方式被编程以操作和运行。
图6所示为具有可以包括在示例性实施方式中的能力的计算机600的示例。此处所述的各种方法、过程、模块、流程图和技术也可结合和/或使用计算机600的能力。计算机600的一个或多个能力可实现在此处所述的任何元件中,例如通信设备15、工作站10和服务器20。
一般,对硬件架构而言,计算机600可以包括通过本地接口(未示出)通信耦合的一个或多个处理器610、计算机可读存储器620、以及一个或多个输入和/或输出(I/O)设备670。本地接口可以是,例如但不限于,一个或多个总线或其他有线或无线连接,如本领域已知的。本地接口可具有使能通信的附加元件,例如,控制器、缓存(高速缓存)、驱动器、中继器和接收器。此外,本地接口可以包括地址、控制和/或数据连接以使得能在上述组件之间适当的通信。
处理器610是硬件设备,用于执行可存储在存储器620中的软件。处理器610其实可以是任何定制或可商用的处理器、中央处理单元(CPU)、数字信号处理器(DSP)或与计算机600相关的几个处理器中的辅助处理器,以及处理器610可以是基于半导体的微处理器(形式为微芯片)或微处理器。
计算机可读存储器620可以包括易失存储器元件(例如,随机存取存储器(RAM),例如动态随机存取存储器(DRAM)、静态随机存取存储器(SRAM)等等)、非易失存储器元件(例如,ROM,可擦除可编程只读存储器(EPROM)、电可擦除可编程只读存储器(EEPROM)、可编程只读存储器(PROM)、带、压缩盘只读存储器(CD-ROM)、盘、磁盘、盒式带、盒式磁带等等)中的任何一个或组合。而且,存储器620可结合电子的、磁的、光的和/或其他类型的存储介质。注意,存储器620可具有分布式架构,其中各种组件相互位于远处,但是可被处理器610访问。
计算机可读存储器620中的软件可以包括一个或多个单独的程序,其中每一个包括用于实现逻辑函数的可执行指令的排序列表。存储器620中的软件可以包括合适的操作系统(OS)650、编译器640、源代码630,以及示例性实施方式的一个或多个应用660。如图所示,应用660包括用于实现示例性实施方式的特征、过程、方法、函数和操作的很多功能组件。计算机600的应用660可代表如此处所述的很多应用、代理、软件组件、模块、接口等等,但是应用660不是限制。
操作系统650可控制其他计算机程序的执行,以及提供调度、输入-输出控制、文件和数据管理、存储器管理以及通信控制和相关服务。
应用660可采用面向服务的架构,其可以是互相通信的服务的集合。而且,面向服务的架构允许两个或更多服务配合和/或执行活动(例如,互相代表)。服务间的每个交互可以是自治的和松耦合的,使得每个交互是独立于任何其他交互的。
此外,应用660可以是源程序、可执行程序(目标代码)、脚本或包括要执行的指令集合的任何其他实体。当是源程序时,则程序通常通过编译器(例如编译器640)、汇编程序、解释程序等等被翻译,其可以或可以不包括在存储器620中,使得与OS 650一起正确运行。而且,应用660可被写为(a)面向对象的编程语言,其具有数据和方法的类,或(b)过程编程语言,其具有例程、子程序和/或函数。
I/O设备670可以包括输入设备(或外围设备),例如,例如但不限于,鼠标、键盘、扫描仪、麦克风、照相机等等。而且,I/O设备670还可以包括输出设备(或外围设备),例如但不限于,打印机、显示器等等。最后,I/O设备670还可以包括既输入又输出通信的设备,例如但不限于,NIC或调制器/解调器(用于访问远程设备、其他文件、设备、系统或网络)、射频(RF)或其他收发器、电话接口、桥、路由器等等。I/O设备670还包括用于通过多种网络通信的组件,例如因特网或内联网。I/O设备670可使用蓝牙连接和线缆(通过例如通用串行总线(USB)端口、串行端口、并行端口、火线、HDMI(高清多媒体接口)等等)连接到和/或与处理器610通信。
当计算机600工作时,处理器610用于执行存储在存储器620中的软件,以向存储器620传递数据,以及依据软件总体控制计算机600的操作。应用660和OS650被处理器610整体或部分读,可能缓冲在处理器610中,且然后被执行。
当应用660实现为软件时,应注意,应用660可实际存储在任何计算机可读介质上,用于被任何有关计算机的系统或方法使用或关联。在本文档的上下文中,计算机可读介质可以是电子的、磁的、光的或其他物理设备或装置,其可包含或存储用于被任何有关计算机的系统或方法使用或关联的计算机程序。
应用660可实现在任何计算机可读介质620中,用于被指令执行系统、装置、服务器或设备使用或关联,例如,基于计算机的系统、包含处理器的系统或可从指令执行系统、装置或设备取回指令并执行指令的其他系统。在本文档的上下文中,“计算机可读介质”可以是可存储、读、写、通信或传输用于被指令执行系统、装置或设备使用或关联的程序的任何装置。计算机可读介质可以是,例如但不限于,电子的、磁的、光的或半导体系统、装置或设备。
计算机可读介质620的更具体的示例(非穷举列表)可以包括下列:具有一个或多个线的电(电子的)连接、便携计算机盘(磁的或光的)、随机存取存储器(RAM)(电子的)、只读存储器(ROM)(电子的)、可擦除可编程只读存储器(EPROM、EEPROM或闪存)(电子的)、光纤(光的)以及便携压缩盘存储器(CDROM、CD R/W)(光的)。注意,计算机可读介质甚至可以是纸或者另一合适的介质,程序在其上被打印或打孔,因为程序可被电子地俘获,通过例如光扫描纸或其他介质,然后被编译、翻译或如果必要,以合适的方式处理,以及然后存储在计算机存储器中。
在示例性实施方式中,其中应用660实现在硬件中,应用360可用下列技术中的任一或组合实现,其中每一个在本领域是公知的:具有用于对数据信号实现逻辑函数的逻辑门的离散的逻辑电路、具有适当的组合逻辑门、可编程门阵列(PGA)、现场可编程门阵列(FPGA)的专用集成电路(ASIC)等等。
可以理解,计算机600包括软件和硬件组件的非限制的示例,其可以包括在此处所述的多种设备、服务器和系统中,以及可以理解,附加的软件和硬件组件可以包括在示例性实施方式所述的多种设备和系统中。
此处使用的术语仅用于说明具体实施方式且不是为了限制本发明。如此处所使用的,单数形式“一个”、“一种”、“该”也意欲包括复数形式,除非上下文清楚地指明。还应理解,当在本说明书中使用术语“包括”和/或“包含”时,指定所述特征、整数、步骤、操作、元件和/或组件的存在,但是不排除一个或多个其他特征、整数、步骤、操作、元件、组件和/或其组的存在或增加。
下面权利要求中对应的结构、材料、行动和所有装置或步骤加上功能元件的等价意欲包含与如具体的权利要求所述的其他要求的元件结合,用于执行功能的任何结构、材料或行动。为了图示和说明已经呈现了本发明的说明书,但是要穷举或将本发明限制为所公开的形式。本领域技术人员将明白可以不脱离本发明的范围和精神做出很多修改和变更。选择和说明实施方式以便最好地解释本发明的原理和实际应用,已经使得本领域其他技术人员理解本发明对于具有多种修改的多种实施方式适合设想的特定用途。
此处所示的流程图仅是一个示例。对这个图或此处所述的步骤(或操作)可以有很多变更而不脱离本发明的精神。例如,步骤可以按不同顺序执行或可以增加、删除和修改步骤。所有这些变更可被认为是本发明要求的一部分。
虽然已经说明了本发明的示例性实施方式,本领域技术人员将理解,现在和将来可做出落在下面权利要求范围内的多种改进和提高。这些权利要求应被理解为维持首先说明的本发明的正确保护。
Claims (18)
1.一种用于通过对服务器上的逻辑表达式进行赋值来修改访问控制列表的基础许可的方法,包括:
响应于来自主体的访问对象的请求,由服务器通过将所述主体的名称与用于对象的访问控制列表条目进行比较来确定用于所述主体的基础许可;
由所述服务器确定用于所述对象的、包括逻辑表达式条目的访问控制列表条目;
由所述服务器利用所述主体的逻辑表达式属性来对用于所述对象的所述访问控制列表条目的所述逻辑表达式条目赋值,其中所述逻辑表达式条目被赋值以确定对于所述主体的所述逻辑表达式属性而言哪些逻辑表达式条目为真;
对于为真的逻辑表达式条目,由所述服务器对所述逻辑表达式条目的集合运算符进行组合,以具有单个并集访问控制列表、单个交集访问控制列表以及单个替换访问控制列表,其中,并集运算符类型的所有权限的组合形成并集访问控制列表,交集运算符类型的所有权限的组合形成交集访问控制列表,替换运算符类型的所有权限的组合形成替换访问控制列表;
响应于存在所述替换访问控制列表,在确定对主体的许可的增量式过程期间,由所述服务器执行替换操作以利用所述替换访问控制列表来替换所述基础许可,其中所述替换操作的结果是第一输出,并且其中响应于不存在替换访问控制列表,所述基础许可是所述第一输出;
响应于存在所述并集访问控制列表,在确定对主体的许可的增量式过程期间,由所述服务器对所述第一输出和所述并集访问控制列表执行并集操作,其中所述并集操作的结果是第二输出,并且其中响应于不存在并集访问控制列表,所述第一输出是所述第二输出;
响应于存在交集访问控制列表,在确定对主体的许可的增量式过程期间,由所述服务器对所述第二输出和所述交集访问控制列表执行交集操作,其中所述交集操作的结果是第三输出,并且其中响应于不存在交集访问控制列表,所述第二输出是所述第三输出;以及
由所述服务器提供所述第三输出作为用于所述主体的许可,
其中,所述替换操作第一个执行,所述并集操作第二个执行,所述交集操作第三个执行,以限定确定对主体的许可的增量式过程,并且,
其中,逻辑表达式属性包括IP地址、连接类型、认证机制、访问时间。
2.根据权利要求1所述的方法,其中逻辑表达式属性从所述主体获得,其中,交集运算导致主体的权限的缩减,并集运算导致主体的权限的增强,替换运算基于对替换关键字的使用而发生。
3.根据权利要求1所述的方法,其中逻辑表达式属性还包括:主体名称、群组名称和证书。
4.根据权利要求1所述的方法,其中所述并集访问控制列表是使用并集运算符的逻辑表达式条目的组合。
5.根据权利要求1所述的方法,其中所述并集访问控制列表是用于所述对象的许可的组合。
6.根据权利要求1所述的方法,其中所述交集访问控制列表是使用交集运算符的逻辑表达式条目的组合。
7.根据权利要求1所述的方法,其中所述交集访问控制列表是用于对象的许可的组合。
8.根据权利要求1所述的方法,其中所述替换访问控制列表是使用替换运算符的逻辑表达式条目的组合。
9.根据权利要求1所述的方法,其中所述替换访问控制列表是用于对象的许可的组合。
10.一种用于通过对逻辑表达式进行赋值来修改访问控制列表的基础许可的系统,包括:
用于响应于来自主体的访问对象的请求,由服务器通过将所述主体的名称与用于对象的访问控制列表条目进行比较来确定用于所述主体的基础许可的模块;
用于由所述服务器确定用于所述对象的、包括逻辑表达式条目的访问控制列表条目的模块;
用于由所述服务器利用所述主体的逻辑表达式属性来对用于所述对象的所述访问控制列表条目的所述逻辑表达式条目赋值的模块,其中所述逻辑表达式条目被赋值以确定对于所述主体的所述逻辑表达式属性而言哪些逻辑表达式条目为真;
用于对于为真的逻辑表达式条目,由所述服务器对所述逻辑表达式条目的集合运算符进行组合,以具有单个并集访问控制列表、单个交集访问控制列表以及单个替换访问控制列表的模块,其中,并集运算符类型的所有权限的组合形成并集访问控制列表,交集运算符类型的所有权限的组合形成交集访问控制列表,替换运算符类型的所有权限的组合形成替换访问控制列表;
用于响应于存在所述替换访问控制列表,在确定对主体的许可的增量式过程期间,由所述服务器执行替换操作以利用所述替换访问控制列表来替换所述基础许可的模块,其中所述替换操作的结果是第一输出,并且其中响应于不存在替换访问控制列表,所述基础许可是所述第一输出;
用于响应于存在所述并集访问控制列表,在确定对主体的许可的增量式过程期间,由所述服务器对所述第一输出和所述并集访问控制列表执行并集操作的模块,其中所述并集操作的结果是第二输出,并且其中响应于不存在并集访问控制列表,所述第一输出是所述第二输出;
用于响应于存在交集访问控制列表,在确定对主体的许可的增量式过程期间,由所述服务器对所述第二输出和所述交集访问控制列表执行交集操作的模块,其中所述交集操作的结果是第三输出,并且其中响应于不存在交集访问控制列表,所述第二输出是所述第三输出;以及
用于由所述服务器提供所述第三输出作为用于所述主体的许可的模块,
其中,所述替换操作第一个执行,所述并集操作第二个执行,所述交集操作第三个执行,以限定确定对主体的许可的增量式过程,并且,
其中,逻辑表达式属性包括IP地址、连接类型、认证机制、访问时间。
11.根据权利要求10所述的系统,其中逻辑表达式属性从所述主体获得,其中,交集运算导致主体的权限的缩减,并集运算导致主体的权限的增强,替换运算基于对替换关键字的使用而发生。
12.根据权利要求10所述的系统,其中逻辑表达式属性还包括:主体名称、群组名称和证书。
13.根据权利要求10所述的系统,其中所述并集访问控制列表是使用并集运算符的逻辑表达式条目的组合。
14.根据权利要求10所述的系统,其中所述并集访问控制列表是用于所述对象的许可的组合。
15.根据权利要求10所述的系统,其中所述交集访问控制列表是使用交集运算符的逻辑表达式条目的组合。
16.根据权利要求10所述的系统,其中所述交集访问控制列表是用于对象的许可的组合。
17.根据权利要求10所述的系统,其中所述替换访问控制列表是使用替换运算符的逻辑表达式条目的组合。
18.根据权利要求10所述的系统,其中所述替换访问控制列表是用于对象的许可的组合。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US12/549,955 US8250628B2 (en) | 2009-08-28 | 2009-08-28 | Dynamic augmentation, reduction, and/or replacement of security information by evaluating logical expressions |
| US12/549,955 | 2009-08-28 | ||
| PCT/EP2010/062007 WO2011023606A1 (en) | 2009-08-28 | 2010-08-18 | Modification of access control lists |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN102473229A CN102473229A (zh) | 2012-05-23 |
| CN102473229B true CN102473229B (zh) | 2015-04-01 |
Family
ID=42669472
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201080036676.6A Expired - Fee Related CN102473229B (zh) | 2009-08-28 | 2010-08-18 | 访问控制列表的修改 |
Country Status (6)
| Country | Link |
|---|---|
| US (1) | US8250628B2 (zh) |
| JP (1) | JP5497178B2 (zh) |
| CN (1) | CN102473229B (zh) |
| DE (1) | DE112010003464B4 (zh) |
| GB (1) | GB2484243B (zh) |
| WO (1) | WO2011023606A1 (zh) |
Families Citing this family (17)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102025603B (zh) * | 2009-09-17 | 2015-01-28 | 中兴通讯股份有限公司 | 报文发送控制的方法、系统及注册、更新的方法及系统 |
| US8510801B2 (en) * | 2009-10-15 | 2013-08-13 | At&T Intellectual Property I, L.P. | Management of access to service in an access point |
| US9215236B2 (en) * | 2010-02-22 | 2015-12-15 | Avaya Inc. | Secure, policy-based communications security and file sharing across mixed media, mixed-communications modalities and extensible to cloud computing such as SOA |
| US20110321117A1 (en) * | 2010-06-23 | 2011-12-29 | Itt Manufacturing Enterprises, Inc. | Policy Creation Using Dynamic Access Controls |
| JP5567053B2 (ja) * | 2012-03-19 | 2014-08-06 | 株式会社東芝 | 権限変更装置、作成装置及びプログラム |
| US20140082586A1 (en) * | 2012-08-09 | 2014-03-20 | FatFractal, Inc. | Application development system and method for object models and datagraphs in client-side and server-side applications |
| US9460300B1 (en) * | 2012-09-10 | 2016-10-04 | Google Inc. | Utilizing multiple access control objects to manage access control |
| US9215075B1 (en) | 2013-03-15 | 2015-12-15 | Poltorak Technologies Llc | System and method for secure relayed communications from an implantable medical device |
| US9477934B2 (en) * | 2013-07-16 | 2016-10-25 | Sap Portals Israel Ltd. | Enterprise collaboration content governance framework |
| CN104145468B (zh) * | 2014-01-13 | 2017-02-22 | 华为技术有限公司 | 一种文件访问权限控制方法及装置 |
| US10223363B2 (en) * | 2014-10-30 | 2019-03-05 | Microsoft Technology Licensing, Llc | Access control based on operation expiry data |
| WO2016127555A1 (zh) * | 2015-02-09 | 2016-08-18 | 华为技术有限公司 | 控制应用程序权限的方法及控制器 |
| US10044718B2 (en) | 2015-05-27 | 2018-08-07 | Google Llc | Authorization in a distributed system using access control lists and groups |
| CN107566201B (zh) * | 2016-06-30 | 2020-08-25 | 华为技术有限公司 | 报文处理方法及装置 |
| CN108881216B (zh) * | 2018-06-14 | 2020-12-22 | 浙江远望信息股份有限公司 | 一种以同类同配置物联网设备合规数据包并集形成数据包通信白名单的方法 |
| CN108718320B (zh) * | 2018-06-14 | 2021-03-30 | 浙江远望信息股份有限公司 | 一种以同类同配置物联网设备合规数据包交集形成数据包通信白名单的方法 |
| CN116016387B (zh) * | 2023-03-10 | 2023-06-13 | 苏州浪潮智能科技有限公司 | 访问控制列表生效控制方法、装置、设备和存储介质 |
Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101039213A (zh) * | 2006-03-14 | 2007-09-19 | 华为技术有限公司 | 一种通信网络中对用户的接入访问进行控制的方法 |
Family Cites Families (19)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6158010A (en) | 1998-10-28 | 2000-12-05 | Crosslogix, Inc. | System and method for maintaining security in a distributed computer network |
| EP1143662B1 (en) | 1999-06-10 | 2006-05-17 | Alcatel Internetworking, Inc. | Virtual private network having automatic updating of client reachability information |
| US6950819B1 (en) | 1999-11-22 | 2005-09-27 | Netscape Communication Corporation | Simplified LDAP access control language system |
| US7185361B1 (en) | 2000-01-31 | 2007-02-27 | Secure Computing Corporation | System, method and computer program product for authenticating users using a lightweight directory access protocol (LDAP) directory server |
| US7124132B1 (en) | 2000-05-17 | 2006-10-17 | America Online, Inc. | Domain specification system for an LDAP ACI entry |
| US7440962B1 (en) | 2001-02-28 | 2008-10-21 | Oracle International Corporation | Method and system for management of access information |
| US7392546B2 (en) | 2001-06-11 | 2008-06-24 | Bea Systems, Inc. | System and method for server security and entitlement processing |
| US7356840B1 (en) | 2001-06-19 | 2008-04-08 | Microstrategy Incorporated | Method and system for implementing security filters for reporting systems |
| US7167918B2 (en) | 2001-10-29 | 2007-01-23 | Sun Microsystems, Inc. | Macro-based access control |
| US7024693B2 (en) | 2001-11-13 | 2006-04-04 | Sun Microsystems, Inc. | Filter-based attribute value access control |
| US7284265B2 (en) * | 2002-04-23 | 2007-10-16 | International Business Machines Corporation | System and method for incremental refresh of a compiled access control table in a content management system |
| US7496687B2 (en) | 2002-05-01 | 2009-02-24 | Bea Systems, Inc. | Enterprise application platform |
| US7444668B2 (en) | 2003-05-29 | 2008-10-28 | Freescale Semiconductor, Inc. | Method and apparatus for determining access permission |
| US7623518B2 (en) | 2004-04-08 | 2009-11-24 | Hewlett-Packard Development Company, L.P. | Dynamic access control lists |
| US7895639B2 (en) | 2006-05-04 | 2011-02-22 | Citrix Online, Llc | Methods and systems for specifying and enforcing access control in a distributed system |
| US20080127354A1 (en) | 2006-11-28 | 2008-05-29 | Microsoft Corporation | Condition based authorization model for data access |
| US20090055397A1 (en) | 2007-08-21 | 2009-02-26 | International Business Machines Corporation | Multi-Dimensional Access Control List |
| US7934249B2 (en) * | 2007-08-27 | 2011-04-26 | Oracle International Corporation | Sensitivity-enabled access control model |
| US20090205018A1 (en) | 2008-02-07 | 2009-08-13 | Ferraiolo David F | Method and system for the specification and enforcement of arbitrary attribute-based access control policies |
-
2009
- 2009-08-28 US US12/549,955 patent/US8250628B2/en not_active Expired - Fee Related
-
2010
- 2010-08-18 CN CN201080036676.6A patent/CN102473229B/zh not_active Expired - Fee Related
- 2010-08-18 GB GB1201636.6A patent/GB2484243B/en not_active Expired - Fee Related
- 2010-08-18 DE DE112010003464.8T patent/DE112010003464B4/de active Active
- 2010-08-18 JP JP2012526006A patent/JP5497178B2/ja not_active Expired - Fee Related
- 2010-08-18 WO PCT/EP2010/062007 patent/WO2011023606A1/en active Application Filing
Patent Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101039213A (zh) * | 2006-03-14 | 2007-09-19 | 华为技术有限公司 | 一种通信网络中对用户的接入访问进行控制的方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| US8250628B2 (en) | 2012-08-21 |
| CN102473229A (zh) | 2012-05-23 |
| WO2011023606A1 (en) | 2011-03-03 |
| US20110055902A1 (en) | 2011-03-03 |
| GB201201636D0 (en) | 2012-03-14 |
| DE112010003464B4 (de) | 2019-05-16 |
| GB2484243B (en) | 2015-09-30 |
| GB2484243A (en) | 2012-04-04 |
| DE112010003464T5 (de) | 2012-06-14 |
| JP5497178B2 (ja) | 2014-05-21 |
| JP2013503375A (ja) | 2013-01-31 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN102473229B (zh) | 访问控制列表的修改 | |
| CN109643242B (zh) | 用于多租户hadoop集群的安全设计和架构 | |
| CN104144158B (zh) | 用于基于策略的自动同意的方法和装置 | |
| CN100474263C (zh) | 用于用户概况表管理的方法 | |
| CN110622490A (zh) | 核心网络访问提供商 | |
| US8307406B1 (en) | Database application security | |
| US20230195877A1 (en) | Project-based permission system | |
| KR102462894B1 (ko) | 통제된 액세스 자원들에 대한 위치―기반 액세스 | |
| US6678682B1 (en) | Method, system, and software for enterprise access management control | |
| CN109817347A (zh) | 在线诊断平台、其权限管理方法及权限管理系统 | |
| Kiyomoto et al. | PPM: Privacy policy manager for personalized services | |
| US20230069247A1 (en) | Data sharing solution | |
| CN104462982A (zh) | 跨应用共享的授权策略对象、目标定义和决策合并算法 | |
| CN111274569A (zh) | 统一登录认证的研发运维集成系统及其登录认证方法 | |
| CN100586123C (zh) | 基于角色管理的安全审计方法及系统 | |
| Chai et al. | BHE-AC: A blockchain-based high-efficiency access control framework for Internet of Things | |
| CN103778364A (zh) | 管理应用于应用的许可设置 | |
| CN103020542A (zh) | 存储用于全球数据中心的秘密信息的技术 | |
| CN103069767B (zh) | 交付认证方法 | |
| Delessy et al. | Patterns for access control in distributed systems | |
| US20220334869A1 (en) | Distributed Attribute Based Access Control as means of Data Protection and Collaboration in Sensitive (Personal) Digital Record and Activity Trail Investigations | |
| JP2007004610A (ja) | 複合的アクセス認可方法及び装置 | |
| US20230128367A1 (en) | Environment and location-based data access management systems and methods | |
| Abdi | DECENTRALIZED ACCESS CONTROL FOR IoT BASED ON BLOCKCHAIN TECHNOLOGY | |
| CN116827615A (zh) | 一种威胁情报关联分发方法及装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20150401 Termination date: 20200818 |
|
| CF01 | Termination of patent right due to non-payment of annual fee |