CN102598021A - 用于管理安全对象的方法和系统 - Google Patents
用于管理安全对象的方法和系统 Download PDFInfo
- Publication number
- CN102598021A CN102598021A CN2010800501560A CN201080050156A CN102598021A CN 102598021 A CN102598021 A CN 102598021A CN 2010800501560 A CN2010800501560 A CN 2010800501560A CN 201080050156 A CN201080050156 A CN 201080050156A CN 102598021 A CN102598021 A CN 102598021A
- Authority
- CN
- China
- Prior art keywords
- access
- resource
- user
- visit
- access path
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000000034 method Methods 0.000 title claims abstract description 37
- 238000004590 computer program Methods 0.000 claims description 7
- 230000004044 response Effects 0.000 claims description 2
- 230000007774 longterm Effects 0.000 claims 1
- 238000013475 authorization Methods 0.000 abstract description 8
- 238000013474 audit trail Methods 0.000 abstract description 4
- 238000012544 monitoring process Methods 0.000 abstract description 4
- 238000012545 processing Methods 0.000 abstract description 4
- 230000002567 autonomic effect Effects 0.000 abstract 1
- 238000004458 analytical method Methods 0.000 description 23
- 230000008569 process Effects 0.000 description 11
- 230000010354 integration Effects 0.000 description 10
- 230000008901 benefit Effects 0.000 description 9
- 238000012216 screening Methods 0.000 description 8
- 238000003860 storage Methods 0.000 description 6
- 238000007726 management method Methods 0.000 description 4
- 230000003068 static effect Effects 0.000 description 4
- 238000013480 data collection Methods 0.000 description 3
- 238000011161 development Methods 0.000 description 3
- 230000009897 systematic effect Effects 0.000 description 3
- 238000012550 audit Methods 0.000 description 2
- 238000009412 basement excavation Methods 0.000 description 2
- 238000005056 compaction Methods 0.000 description 2
- 238000007418 data mining Methods 0.000 description 2
- 238000010586 diagram Methods 0.000 description 2
- 238000009826 distribution Methods 0.000 description 2
- 230000000694 effects Effects 0.000 description 2
- 239000004065 semiconductor Substances 0.000 description 2
- 230000001960 triggered effect Effects 0.000 description 2
- 241000139306 Platt Species 0.000 description 1
- 230000004913 activation Effects 0.000 description 1
- 230000008859 change Effects 0.000 description 1
- 230000008878 coupling Effects 0.000 description 1
- 238000010168 coupling process Methods 0.000 description 1
- 238000005859 coupling reaction Methods 0.000 description 1
- 230000005611 electricity Effects 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 238000007689 inspection Methods 0.000 description 1
- 238000005457 optimization Methods 0.000 description 1
- 238000005096 rolling process Methods 0.000 description 1
- 238000012795 verification Methods 0.000 description 1
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/604—Tools and structures for managing or administering access control systems
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/102—Entity profiles
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/105—Multiple levels of security
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Computing Systems (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Health & Medical Sciences (AREA)
- Bioethics (AREA)
- General Health & Medical Sciences (AREA)
- Software Systems (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Automation & Control Theory (AREA)
- Storage Device Security (AREA)
Abstract
本发明提供一种用于监视访问控制决定的方法,即使它们没有全部记录在审计跟踪中。相反,维护一计数,其是通过在决定哪些授权可能已准许或拒绝访问时相关的所有参数总结的,所述参数包括但不限于主题、对象、访问级别和决定。经过一个(任意的,通常可配置)时间间隔之后,它被写出,作为我们所称的访问摘要记录。这有助于确保将数据丢失限制到最多一个时间间隔。有关这些时间间隔的信息可以进行整合以创建涵盖更长时间间隔的访问摘要记录。所述访问摘要记录与当前安全规则(访问控制数据库)进行比较以标记安全规则、安全属性或特定授权是否在所述访问摘要所涵盖的时间段内已使用(用于授权或拒绝)。可选的筛选步骤,其中例如可选择安全规则的子集,用于自动处理、人工批准或根本不做任何处理。可选的人工批准步骤,其中可以批准删除被标记为已使用的授权。
Description
技术领域
本发明涉及一种用于在计算机系统中管理安全对象的方法和系统。
背景技术
现代交易环境包括专用安全模块来管理用户对资源的访问。由于此类系统中的用户和资源数量可能非常大,因此,相关的复杂性变得不可能由人类管理。已经构想出便利安全规则的管理的系统和方法,这些安全规则用于控制在此类系统上仅执行授权操作。
由Harrison和Kitov提出的公开号为US2009/0138938的美国专利申请描述了一种用于审计安全策略的系统和方法,并具体描述了如何可使用包含有关已记录安全规则使用的信息的日志记录来获取有关已记录安全对象的所述规则的信息。
Platt等人提出的公开号为US2009/0249440的美国专利申请描述了一种用于管理跨网络资源访问的系统和方法,并具体描述了如何在网络环境中使用中央管理服务器、数据库服务器和控制器拦截访问请求以及如何准许或拒绝请求。
发明内容
根据本发明的第一方面,提供了根据权利要求1的一种用于管理用户对计算机系统中的资源的访问的方法。
此方面的一个优点是记录不同访问请求的日志非常简单,因此在处理大量同时请求时,最小化了对系统性能的影响。另一优点是此方法可以容易地检测不使用或很少使用的安全对象,其中包括诸如组之类的经常被安全规则管理方法忽视的身份对象。
在第一方面的第一发展中,计数器在用户每次请求访问资源时递增。
一个优点是该值将允许针对很少使用的安全对象进行更精确的决定。
在第一方面的第二发展中,进一步记录访问请求的时间戳;并设置安全对象标志以进一步包括所述时间戳。
一个优点是该时间戳将允许对于很久之前但不是近期使用的对象进行更复杂的决定,而不考虑尚未使用的对象。
在第一方面的第三发展中,检测冲突的访问路径,并且将被否决路径的标志设置为表示它未被使用的值。
根据本发明的第二方面,提供了一种包括适合于执行根据本发明第一方面的方法的每个步骤的装置的装置。
一个优点是此装置可以容易地获取,因此使该方法容易执行。
根据本发明的第三方面,提供了一种包括指令的计算机程序,所述指令用于当所述计算机程序在计算机上执行时,执行根据本发明第一方面的方法的步骤。
一个优点是本发明可以容易地再现并在不同的计算机系统上运行。
根据本发明的第四方面,提供了一种上面编码有根据本发明第三方面的计算机程序的计算机可读介质。
一个优点是可使用该介质在各种装置上容易地安装所述方法。
通过参考附图和详细描述,本发明的进一步优点对于本领域的技术人员来说将是清楚的。此处旨在包含其他任何优点。
附图说明
现在参考附图作为示例描述本发明的实施例,在所述附图中,相似的标号表示相似的元素,并且其中:
图1示出其中可实现本发明的系统的高级视图。
图2示出用户和资源之间不同访问路径的示例。
图3示出用于管理安全对象的高级过程。
图4示出本发明实施方式的活动图。
具体实施方式
图1示出系统的高级视图,该系统包括:
-用户(100);
-应用(110);
-资源对象(120);
-访问请求拦截组件(130)
-用户认证组件(140),用于验证用户身份,例如通过验证用户名和密码;
-用于存储用户身份和组层次结构的数据库(150);
-用户授权组件(160),用于准许或拒绝对资源对象(120)的访问;
-访问控制描述符(也称为访问控制列表)数据库(170);
-安全监视组件(180),用于在审计数据库(190)中记录访问请求参数。
当被认证用户(100)尝试访问资源对象(120)以执行需要特定访问级别的操作(例如,用于查看操作的读取或用于更新操作的写入)时,首先必须由授权组件(160)授权用户访问。这种组件通常依赖于访问控制描述符数据库(170)来判定谁对特定资源具有何种访问权限。所述授权可由尝试访问资源的应用(110)直接请求,也可由访问请求拦截组件(130)请求,因为经常的情形是应用并不总是了解其被执行的环境,因此会无法直接调用授权组件(160)。
在每次访问被请求时,授权组件(160)决定应该准许还是拒绝此访问。它还会触发安全监视组件(180),此组件能够在审计日志或审计跟踪(audittrail)数据库(190)中存储有关被评估的特定请求的详细信息。所述记录始终需要在最小详细信息量以便具有有用信息和最大详细信息量以便不会对系统性能造成太大影响之间权衡。在复杂系统中,访问控制描述符的数目可以接近数十万,会有大量用户同时访问资源。因此,此类系统必须使所记录的详细信息量保持最小。
替代地,安全监视组件(180)不是由授权组件(160)直接触发,而是由拦截授权请求的特定组件触发。
图2示出用户和资源之间的不同访问路径示例,包括:
-用户(200);
-可由所述用户访问的第一资源(210)、第二资源(215)和第三资源(220);
-第一用户组(230)、第二用户组(240)、第三用户组(250)和第四用户组(260);
-第一资源组(233)、第二资源组(243)和第三资源组(253);
-第一访问控制描述符(236)、第二访问控制描述符(246)、第三访问控制描述符(256)和第四访问控制描述符(266)。
可在系统中将用户或用户组视为用于通告(annunciate)特定身份(用户身份或用户所属的组身份)的安全对象。用户组一般对应于用户(200)可在系统中所具有的特定角色。
创建资源组以反映不同资源的分组,例如,作为事务(transaction)的一部分。
访问控制描述符用于定义授权特定身份访问哪些资源,或者相反地定义拒绝特定身份访问哪些资源,这取决于系统是如何配置的。
在图2中,可识别用户(200)和第一资源(210)之间的两个访问路径:
-第一访问路径,包括属于第一用户组(230)的用户(200),所述第一用户组(230)由第一资源组(233)引用,其转而由第一访问控制描述符(236)授权访问第一资源(210);
-第二访问路径,包括属于第一用户组(230)的用户(200),所述第一用户组(230)由第二资源组(243)引用,其转而由第一访问控制描述符(236)授权访问第一资源(210)。
用户(200)和第二资源(215)之间具有四个访问路径:
-第一访问路径,包括属于第一用户组(230)的用户(200),所述第一用户组(230)由第二资源组(243)引用,其转而由第二访问控制描述符(246)授权访问第二资源(215);
-第二访问路径,包括用户(200),所述用户(200)由第三资源组(253)引用,其转而由第二访问控制描述符(246)授权访问第二资源(215);
-第三访问路径,包括属于第四用户组(260)的用户(200),所述第四用户组(260)由第三资源组(253)引用,其转而由第二访问控制描述符(246)授权访问第二资源(215);
-第四访问路径,包括属于第一用户组(230)的用户(200),所述第一用户组(230)由第一资源组(233)引用,其转而由第二访问控制描述符(246)授权访问第二资源(215)。
第二访问控制描述符(246)还准许访问第三资源(220)。访问控制描述符可以准许访问或拒绝访问一个或多个资源或资源组。
用户(200)还属于第二用户组(240),但是该组不作为身份通告器(identity annunciator)属于到任何资源的访问路径。第三用户组(250)没有任何成员。
因此,对于访问资源的用户而言,可以有多个访问路径。
由于可以存在大量访问控制描述符和组(数十万),因此系统中并非不可能存在冲突的访问路径(例如,一个访问路径阻止用户读取资源,而另一访问路径授权同一用户对同一资源进行写入)。可以就识别出此类冲突时如何做出反应来配置现有安全系统(例如,始终授予被准许的最高访问级别)。检测此类冲突需要对用户和每个资源之间的路径做出穷尽的分析。在访问路径分析过程中,分析定义用户对资源的访问的访问规则。一种典型的资源是磁盘上的数据文件。这些资源具有各种属性(例如,名称或位置)。安全产品(例如RACF)可以根据这些属性保持资源描述符。这些资源描述符经常与许多其他描述符(用于用户ID、用户组等)一起包含在安全数据库(G)中。资源描述符可以描述零个、一个或多个资源。(在RACF中,此类资源描述符被称为数据集配置文件(profile)或资源配置文件。一般而言,描述多个资源的资源描述符被称为一般配置文件,而描述一个资源的资源描述符被称为分散配置文件)。对于某些资源类别,可以(但非必须)将多个资源描述符聚合到一个资源组中。在图中,这些资源组由ResGrp1、ResGrp2和ResGrp3表示。(在RACF中,此类资源组被定义为分组-类别(grouping-class)中的配置文件。经常地,对应的资源描述符被称为成员-类别(member-class)配置文件)。如果资源描述符(例如,上图中的ResDesc1)是资源组的一部分,则它不总是需要作为单独的实体以物理方式出现,而可以被认为由引用定义。资源组和资源描述符每个都可以具有访问列表。它们还可以具有其他控制所有用户ID访问的属性。所述访问列表可以包含用户标识符和用户组。所述用户标识符(或简称为用户ID)可以出于不同目的作为成员被包括在一个组或多个组内。这里的介绍仅限于使用用户组来准许或拒绝访问资源。由于可应用资源描述符或资源组的属性,由于用户ID包括在可应用ACL中,由于其一个或多个用户组包括在可用ACL中,或者由于用户ID本身的属性,用户ID可以具有资源访问权限。由于用户ID可以是多个用户组的成员,由于资源描述符可以包括在多个资源组中,以及由于资源描述符和资源组两者都可以具有访问列表,因此用户ID对资源的访问可由多个定义同时控制。在访问路径分析过程中,找到并评估所有可以控制用户ID对资源的访问的不同定义。例如,在上图中,位于左侧的用户可通过以下四个不同路径访问位于右侧的第二资源:
a)userid->usergrp1->resgrp1->resdesc2->resource2准许读取访问
b)userid->usergrp1->resgrp2->resdesc2->resource2准许读取访问
c)userid->resgrp3->resdesc2->resource2准许读取访问
d)userid->usergrp4->resgrp3->resdesc2->resource2准许读取访问。
这四个路径中的每个路径准许的访问级别可能不同,也可能相同。
访问路径分析的结果是所有允许访问的不同路径的完整表示,同时丢弃所有无关路径,因为准许的访问不用于实际的访问决定。例如,丢弃路径a)、b)和d)准许的读取访问,因为此访问被路径c)准许的显式用户ID级访问替代。此类型的分析使用安全定义中存在的静态数据。有时它被称为静态分析。
图3示出用于管理安全对象的高级过程,包括:
-数据收集阶段(310);
-数据整合阶段(320);
-位于这两个阶段之间的筛选(325);
-访问路径分析阶段(330);
-位于数据整合阶段(320)和依赖于访问规则或访问控制描述符数据库(370)的访问路径分析阶段(330)之间的筛选(335);
-命令产生阶段(340);
-位于访问路径分析阶段(330)和命令产生阶段(340)之间的筛选(345);
-数据/角色挖掘阶段(350);
-位于数据收集阶段(310)、数据整合阶段(320)和访问路径分析阶段(330)之间的筛选(355);
-what-if what-now(如果…则怎样,现在怎样)分析阶段(360);
-位于访问路径分析阶段(330)和what-if what-now分析阶段(360)之间的筛选(365)。
对于所述数据收集阶段,收集有关以下方面的信息:
-谁;
-什么(资源类型/名称);
-何时(事件日期/时间);
-何处(系统名);
-访问级别;
-用户的某些属性,环境设置;
-RACF特定信息,如所用资源配置文件。
在所述数据整合(数据精简)阶段,可以执行原始数据筛选。合并所产生的数据。将多个相同记录合并为一个单独的记录,并添加计数值以记录有多少重复的记录。为了判定记录是否重复,所收集的一个或多个方面可被视为被丢弃。在整合的输出文件中,被丢弃的方面可由用于此方面的单个代表值替代。在当前实施方式中建议丢弃的方面是事件日期和时间。
整合过程允许在最少使用资源的情况下保留来自延长时间段的数据。从中整合数据的时间段可选择为最适合所需分析类型。此整合过程通常用于多个代表性的时间段,如30分钟、1天、1个月或1年。
所述访问路径分析阶段(330)包括已参考图2详细描述的静态访问路径分析,以及动态访问路径分析阶段。
在动态访问路径分析阶段(330),可将静态访问路径分析结果的内部表示与来自(整合的)访问数据的实际使用信息进行合并。此合并产生动态访问路径分析。所有等效的访问路径通过标志或计数器被标记为已使用。所有对安全产品的实际访问决定(无论是准许访问还是拒绝访问)没有贡献的访问路径保持不标记。
分析的此动态方面的本质部分是将所有可能已参与访问决定的路径标记为已使用,而独立于安全产品使用的实际过程。例如,安全产品可能使用首发命中(first hit)算法并立即停止访问验证过程。相反,所述动态访问路径分析将执行穷尽的搜索并标记所有可能的贡献者。所有中间步骤都被标记。在上述示例中,标记以下内容:用户(200)、resgrp3(253)、resdesc2(246)。如果已涉及任务组,则也会将它标记为已使用。
动态分析结果可用于三种不同的应用:
-命令产生(340),以删除选定定义;
-动态角色挖掘(350),基于导致访问的中间定义的实际使用。使用上述示例,ResGrp3(253)中用于用户(200)的ACL项被标记为已使用,该ACL项作为其表示的角色是活动的;
-what-if和what-now分析(360)涉及比较使用当前的或所提出的安全定义准许的访问与历史上获取的访问信息。
在可选的(整合)访问数据筛选(335)或/和可选的安全定义筛选(345)之后,可针对未使用的安全定义、很少使用的安全定义或仅在指定时间间隔使用的安全定义产生(340)命令。典型时间间隔是一端无限的时间间隔“6个月前”。所产生的命令可用于用户ID(200)、用户组(230、240、250、260)、用户ID到组连接、ACL项、资源组(233、243、253)、资源描述符(236、246、256、266)和资源组到资源描述符连接。所提出的系统不需要立即执行所产生的命令,但允许安全管理员检查和修改所产生的命令。
数据收集过程(310)的输出、数据整合过程(320)的输出,以及动态访问路径分析(330)的输出可用于直接报告,或者可用于数据挖掘目的(350)。可使用此数据的一种特定类型的数据挖掘是“角色挖掘”。角色挖掘(350)是判定访问角色(作业角色),以针对例如授权级别、已定义或分配的角色数、或最少必要管理工作优化准许用户的资源访问授权的过程。可以使用what-if和what-now分析(360)验证之前的事件仍然使用所提出的或当前的定义来如所希望的那样进行处理。通过使用选定的安全定义数据库,可以比较过去发生的和捕获的实际事件与所提出的或当前的安全定义。由于数据精简步骤(320)和全面的访问路径分析(330),因此可以高效地完成上述比较。
图4示出本发明的实施方式的活动图,其包括以下步骤:
-开始(400);
-接收有关用户请求访问资源的消息(410);
-存储请求安全参数(420),包括用户ID、资源标识符、所请求的访问级别、每次检测到用户对资源的访问时递增的计数器,并且存储以下可选安全参数:访问控制描述符的标识符、表示最后请求访问日期的请求时间戳、三个附加计数器,其中第一附加计数器在每次准许访问时递增,第二附加计数器在每次拒绝访问时递增,以及第三附加计数器计数系统不了解发生了什么;
-识别可能用于授权请求的所有访问路径(430);
-标记所有安全对象(440),包括诸如用户组、资源组和访问控制描述符之类可用于授权的身份通告器(此步骤可标记系统实际上从未使用的安全对象,因为系统可能在找到访问路径之后立即停止,并不会尝试穷尽地找到活动环境中的所有访问路径);
-根据安全对象的标志值作出关于安全对象(450)的决定,默认情况下,标志值是该对象未使用,动态访问路径分析阶段(330)会更改该值以匹配在数据整合阶段(320)判定的值;以及
-结束过程(460)。
另一实施例包括一种用于监视访问控制决定的方法,即使它们没有全部记录在审计跟踪中。相反,维护一计数,其是通过在决定哪些授权可能已准许或拒绝访问时相关的所有参数总结的,所述参数包括但不限于主题(subject)、对象、访问级别和决定。经过一个(任意的,通常可配置)时间间隔之后,它被写出,作为我们所称的访问摘要(Access Summary)记录。这有助于确保将数据丢失限制到最多一个时间间隔。有关这些时间间隔的信息可以进行整合以创建涵盖更长时间间隔的访问摘要记录。所述访问摘要记录与当前安全规则(访问控制数据库)进行比较以标记安全规则、安全属性或特定授权是否在所述访问摘要所涵盖的时间段内已使用(用于授权或拒绝),或者替代地计数其使用的频率。可选的筛选步骤,其中例如可以选择安全规则子集以用于自动处理、人工批准或根本不做任何处理。可选的人工批准步骤,其中可以批准删除未被标记为已使用的授权。
本发明可以采取完全硬件实施例、完全软件实施例或同时包含硬件和软件元素的实施例的形式。在优选实施例中,本发明在软件中实现,所述软件包括但不限于固件、驻留软件、微代码等。
此外,本发明可以采取可从计算机可用或计算机可读介质访问的计算机程序产品的形式,所述计算机可用或计算机可读介质提供由计算机或任何指令执行系统使用或与所述计算机或任何指令执行系统结合的程序代码。处于此描述的目的,所述计算机可用或计算机可读介质可以是任何能够包含、存储、传送、传播或传输由指令执行系统、装置或设备使用或与所述指令执行系统、装置或设备结合的程序的装置。
所述介质可以是电、磁、光、电磁、红外线或半导体系统(或装置或设备)或传播介质。计算机可读介质的示例包括半导体或固态存储器、磁带、可移动计算机软盘、随机存取存储器(RAM)、只读存储器(ROM)、硬磁盘和光盘。所述光盘的当前示例包括光盘-只读存储器(CD-ROM)、光盘-读写存储器(CD-R/W)和DVD。
适合于存储和/或执行程序代码的数据处理系统将包括至少一个通过系统总线直接或间接连接到存储器元件的处理器。所述存储器元件可以包括在程序代码的实际执行期间采用的本地存储器、大容量存储装置以及提供至少某些程序代码的临时存储以减少必须在执行期间从大容量存储装置检索代码的次数的高速缓冲存储器。
输入/输出或I/O设备(包括但不限于键盘、显示器、指点设备等)可以直接或通过中间I/O控制器与系统相连。
网络适配器也可以被连接到系统以使所述数据处理系统能够通过中间专用或公共网络变得与其他数据处理系统或远程打印机或存储设备相连。电话调制解调器、电缆调制解调器和以太网卡只是几种当前可用的网络适配器类型。
Claims (12)
1.一种用于在计算机系统中管理用户对资源的访问的方法,包括以下步骤:
-接收有关所述用户请求访问所述资源的消息,所述访问与一访问级别关联,如果所述用户和所述资源之间存在用于所述访问级别的访问路径,则准许所述访问,所述访问路径包括:
-身份通告器,用于表示所述用户、所述用户作为成员的组或角色,以及
-访问控制描述符,用于表示所述身份被授权访问所述资源或包括所述资源的资源组所达到的访问级别;其中所述身份通告器和所述访问控制描述符均为安全对象,每个都包括表示其在授权访问资源时的使用的标志;
-响应于接收到所述消息,在记录中存储所述用户的第一标识符、所述资源的第二标识符、所述访问级别以及用于表示已请求访问的第一值;
-识别可用于判定是否授权所述用户以所述访问级别访问所述资源的所有访问路径;
-将这样识别的每个访问路径的安全对象的标志设置为所述第一值;
-接收另一安全对象,包括表示其在授权访问资源时的使用的标志;
-根据这样接收的所述另一安全对象的标志值,针对该对象作出决定。
2.如权利要求1中所述的方法,其中在所述在记录中存储的步骤中,所述第一值是在每次请求所述访问时递增的计数器。
3.如权利要求2中所述的方法,其中所述决定是在所述其他安全对象的标志值低于预定值时删除该对象。
4.如权利要求2或3中所述的方法,其中在所述在记录中存储的步骤中,进一步在所述记录中存储访问请求的时间戳;并且其中,在所述设置标志的步骤中,将所述标志设置为进一步包括所述时间戳。
5.如权利要求4中所述的方法,其中所述决定是在所述其他安全对象的标志中设置的时间戳设置早于预定日期时删除该对象。
6.如上述任一权利要求中所述的方法,其中,在所述在记录中存储的步骤中,所述记录可以是长期的或永久的。
7.如上述任一权利要求中所述的方法,包括以下进一步的步骤:
-在所述识别所有访问路径的步骤中,进一步识别包括第一访问级别的第一访问路径和包括第二访问级别的第二访问路径,其中所述第一访问级别和第二访问级别相互冲突,并且所述第一访问路径被所述第二访问路径否决;以及
-在所述设置标志的步骤中,将所述第一访问路径的安全对象的标志设置为第二值,以便表示它们不被使用,因为所述第一访问路径被否决。
8.如权利要求7中所述的方法,其中在所述决定步骤中,所述决定是在所述其他安全对象的标志设置为所述第二值时删除该对象。
9.如上述任一权利要求中所述的方法,其中所述身份通告器可以是用户组或用户角色。
10.一种包括适合于执行如权利要求1至8中任一权利要求中所述的方法的每个步骤的装置的装置。
11.一种计算机程序,包括当所述计算机程序在计算机上执行时,适合于执行如权利要求1至8中任一权利要求中所述的方法步骤的指令。
12.一种上面编码有如权利要求10中所述的计算机程序的计算机可读介质。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| EP09175297.2 | 2009-11-06 | ||
| EP09175297 | 2009-11-06 | ||
| PCT/EP2010/062483 WO2011054555A1 (en) | 2009-11-06 | 2010-08-26 | Method and system for managing security objects |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN102598021A true CN102598021A (zh) | 2012-07-18 |
| CN102598021B CN102598021B (zh) | 2015-03-25 |
Family
ID=42983864
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201080050156.0A Expired - Fee Related CN102598021B (zh) | 2009-11-06 | 2010-08-26 | 用于管理安全对象的方法和系统 |
Country Status (5)
| Country | Link |
|---|---|
| US (1) | US9083720B2 (zh) |
| CN (1) | CN102598021B (zh) |
| DE (1) | DE112010004284T5 (zh) |
| GB (1) | GB2487466A (zh) |
| WO (1) | WO2011054555A1 (zh) |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2016015366A1 (zh) * | 2014-08-01 | 2016-02-04 | 苏州阔地网络科技有限公司 | 一种基于身份业务标识的资源控制架构及应用该架构方法 |
| CN103809942B (zh) * | 2012-11-08 | 2017-02-22 | 苏州博远容天信息科技股份有限公司 | WonderWare数据仓库对象授权方法 |
| CN112425132A (zh) * | 2018-07-17 | 2021-02-26 | 瑞典爱立信有限公司 | 用于通用引导架构(gba)的多-x密钥成链 |
Families Citing this family (20)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101662425B (zh) * | 2009-09-17 | 2012-07-04 | 中兴通讯股份有限公司 | 一种检测访问控制列表生效的方法和装置 |
| US8839384B2 (en) * | 2010-09-01 | 2014-09-16 | Microsoft Corporation | Propagating user privacy preferences across multiple applications |
| US8429191B2 (en) * | 2011-01-14 | 2013-04-23 | International Business Machines Corporation | Domain based isolation of objects |
| US9578030B2 (en) * | 2011-02-07 | 2017-02-21 | Tufin Software Technologies Ltd. | Method and system for analyzing security ruleset by generating a logically equivalent security rule-set |
| US9189643B2 (en) | 2012-11-26 | 2015-11-17 | International Business Machines Corporation | Client based resource isolation with domains |
| CN103269343B (zh) * | 2013-05-21 | 2017-08-25 | 福建畅云安鼎信息科技有限公司 | 业务数据安全管控平台 |
| US9536106B2 (en) * | 2013-10-08 | 2017-01-03 | D.R. Systems, Inc. | System and method for the display of restricted information on private displays |
| US10120451B1 (en) | 2014-01-09 | 2018-11-06 | D.R. Systems, Inc. | Systems and user interfaces for dynamic interaction with two- and three-dimensional medical image data using spatial positioning of mobile devices |
| CN106897196B (zh) * | 2015-12-17 | 2019-10-25 | 北京国双科技有限公司 | 网站页面间访问路径的确定方法及装置 |
| US9977915B2 (en) * | 2016-04-19 | 2018-05-22 | Bank Of America Corporation | System for controlling database security and access |
| US10178101B2 (en) * | 2016-06-08 | 2019-01-08 | Bank Of America Corporation | System for creation of alternative path to resource acquisition |
| US10581988B2 (en) | 2016-06-08 | 2020-03-03 | Bank Of America Corporation | System for predictive use of resources |
| US10129126B2 (en) | 2016-06-08 | 2018-11-13 | Bank Of America Corporation | System for predictive usage of resources |
| US10291487B2 (en) | 2016-06-08 | 2019-05-14 | Bank Of America Corporation | System for predictive acquisition and use of resources |
| US11206262B2 (en) | 2019-06-12 | 2021-12-21 | International Business Machines Corporation | Policy-based triggering of revision of access control information |
| US11722312B2 (en) * | 2020-03-09 | 2023-08-08 | Sony Group Corporation | Privacy-preserving signature |
| US12107900B2 (en) | 2021-03-16 | 2024-10-01 | International Business Machines Corporation | Revision of access control system triggered by policies based on risks and/or countermeasures thereof |
| US12052253B2 (en) * | 2021-03-31 | 2024-07-30 | Netapp, Inc. | Context tracking across a data management platform |
| CN115037954B (zh) * | 2022-05-18 | 2024-06-07 | 阿里云计算有限公司 | 访问直播的控制方法、装置及系统 |
| CN116070280B (zh) * | 2023-04-06 | 2023-06-27 | 中诚华隆计算机技术有限公司 | 一种安全访问统计装置、方法和芯片 |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| EP0605106A1 (en) * | 1992-12-03 | 1994-07-06 | Data Security, Inc. | Computer security metapolicy system |
| CN1845032A (zh) * | 2005-04-06 | 2006-10-11 | 杭州波导软件有限公司 | 一种移动终端用户使用权限分级管理实现方法 |
| WO2008093320A1 (en) * | 2007-01-31 | 2008-08-07 | Tufin Software Technologies Ltd. | System and method for auditing a security policy |
| US20090007229A1 (en) * | 2007-06-26 | 2009-01-01 | Novell, Inc. | Time-based method for authorizing access to resources |
| CN101568921A (zh) * | 2006-12-22 | 2009-10-28 | 雅虎公司 | 数字内容的动态定价模型 |
Family Cites Families (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20030236979A1 (en) * | 2002-06-24 | 2003-12-25 | International Business Machines Corporation | Group security objects and concurrent multi-user security objects |
| US7665128B2 (en) * | 2005-04-08 | 2010-02-16 | At&T Corp. | Method and apparatus for reducing firewall rules |
| US7983264B2 (en) * | 2007-08-21 | 2011-07-19 | Cyber Operations, Inc. | Access control list management system |
| US8418238B2 (en) | 2008-03-30 | 2013-04-09 | Symplified, Inc. | System, method, and apparatus for managing access to resources across a network |
-
2010
- 2010-08-26 CN CN201080050156.0A patent/CN102598021B/zh not_active Expired - Fee Related
- 2010-08-26 US US13/504,020 patent/US9083720B2/en not_active Expired - Fee Related
- 2010-08-26 DE DE112010004284T patent/DE112010004284T5/de not_active Ceased
- 2010-08-26 WO PCT/EP2010/062483 patent/WO2011054555A1/en active Application Filing
- 2010-08-26 GB GB1200512.0A patent/GB2487466A/en not_active Withdrawn
Patent Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| EP0605106A1 (en) * | 1992-12-03 | 1994-07-06 | Data Security, Inc. | Computer security metapolicy system |
| CN1845032A (zh) * | 2005-04-06 | 2006-10-11 | 杭州波导软件有限公司 | 一种移动终端用户使用权限分级管理实现方法 |
| CN101568921A (zh) * | 2006-12-22 | 2009-10-28 | 雅虎公司 | 数字内容的动态定价模型 |
| WO2008093320A1 (en) * | 2007-01-31 | 2008-08-07 | Tufin Software Technologies Ltd. | System and method for auditing a security policy |
| US20090138938A1 (en) * | 2007-01-31 | 2009-05-28 | Tufin Software Technologies Ltd. | System and Method for Auditing a Security Policy |
| US20090007229A1 (en) * | 2007-06-26 | 2009-01-01 | Novell, Inc. | Time-based method for authorizing access to resources |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103809942B (zh) * | 2012-11-08 | 2017-02-22 | 苏州博远容天信息科技股份有限公司 | WonderWare数据仓库对象授权方法 |
| WO2016015366A1 (zh) * | 2014-08-01 | 2016-02-04 | 苏州阔地网络科技有限公司 | 一种基于身份业务标识的资源控制架构及应用该架构方法 |
| CN112425132A (zh) * | 2018-07-17 | 2021-02-26 | 瑞典爱立信有限公司 | 用于通用引导架构(gba)的多-x密钥成链 |
| CN112425132B (zh) * | 2018-07-17 | 2024-02-20 | 瑞典爱立信有限公司 | 用于促进订户与服务提供商之间的安全通信的方法和设备 |
Also Published As
| Publication number | Publication date |
|---|---|
| GB201200512D0 (en) | 2012-02-29 |
| CN102598021B (zh) | 2015-03-25 |
| GB2487466A (en) | 2012-07-25 |
| WO2011054555A1 (en) | 2011-05-12 |
| US9083720B2 (en) | 2015-07-14 |
| DE112010004284T5 (de) | 2013-01-24 |
| US20120233670A1 (en) | 2012-09-13 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN102598021B (zh) | 用于管理安全对象的方法和系统 | |
| US10754932B2 (en) | Centralized consent management | |
| US9477660B2 (en) | Privacy compliance in data retrieval | |
| KR102542720B1 (ko) | 제로 트러스트 보안을 위한 행동 인터넷 기반 지능형 데이터 보안 플랫폼 서비스 제공 시스템 | |
| CN102932323B (zh) | 对计算机网络中安全相关事故的自动分析 | |
| US9087148B2 (en) | Automated role adjustment in a computer system | |
| US11783349B2 (en) | Compliance management system | |
| US20100100970A1 (en) | Enforcing alignment of approved changes and deployed changes in the software change life-cycle | |
| US9064097B2 (en) | System and method of automatically detecting outliers in usage patterns | |
| CN103368904A (zh) | 移动终端、可疑行为检测及判定系统和方法 | |
| US10922309B2 (en) | Distributed ledger interaction system and methods | |
| CN108292346A (zh) | 从静态权限和访问事件中提取物理访问控制策略 | |
| CN113516337A (zh) | 数据安全运营的监控方法及装置 | |
| KR101256507B1 (ko) | 사용자 행위 분석을 통한 자료유출 탐지 시스템 및 그 방법 | |
| CN113792308A (zh) | 一种面向政务敏感数据安全行为风险分析方法 | |
| KR101946691B1 (ko) | 정보 유출 탐지 장치 및 방법, 이를 수행하기 위한 기록 매체 | |
| CN104704521A (zh) | 多因素简档和安全指纹分析 | |
| US20230401503A1 (en) | Compliance management system | |
| CN106407836B (zh) | 一种数据非法修改行为自动检测的方法及装置 | |
| Beres et al. | On identity assurance in the presence of federated identity management systems | |
| US20090222876A1 (en) | Positive multi-subsystems security monitoring (pms-sm) | |
| US20050132228A1 (en) | Data processing system and method | |
| Essaouini et al. | Access control policy: A framework to enforce recommendations | |
| WO2006090354A1 (en) | Detection of misuse of a database | |
| TWI722431B (zh) | 產品項目的資料編輯權限之授權方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| CF01 | Termination of patent right due to non-payment of annual fee | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20150325 Termination date: 20200826 |