CN102667719B - 基于资源属性控制资源访问 - Google Patents
基于资源属性控制资源访问 Download PDFInfo
- Publication number
- CN102667719B CN102667719B CN201080052356.XA CN201080052356A CN102667719B CN 102667719 B CN102667719 B CN 102667719B CN 201080052356 A CN201080052356 A CN 201080052356A CN 102667719 B CN102667719 B CN 102667719B
- Authority
- CN
- China
- Prior art keywords
- resource
- access
- tag
- file
- strategy
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/62—Protecting access to data via a platform, e.g. using keys or access control rules
- G06F21/6218—Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/44—Program or device authentication
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/21—Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/2141—Access rights, e.g. capability lists, access control lists, access tables, access matrices
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- General Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Software Systems (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- General Health & Medical Sciences (AREA)
- Bioethics (AREA)
- Health & Medical Sciences (AREA)
- Databases & Information Systems (AREA)
- Storage Device Security (AREA)
- Information Retrieval, Db Structures And Fs Structures Therefor (AREA)
Abstract
描述的是以下技术:根据从资源去耦的策略,通过针对访问请求的用户声明来评估该资源的资源标签来确定对该资源的访问。该资源可以是文件,且该资源标签可通过将该文件分类成分类属性来获取,使得对该文件的改变可改变其资源标签,由此改变哪些用户可访问该文件。基于资源标签的访问评估在逻辑上可与基于常规ACL的访问评估相结合,以便确定是授予还是拒绝对该资源的访问。
Description
背景
在典型的企业环境中,维护和处理的数据量是巨大的,并迅速地增长。信息技术(IT)部门必须处理数十种格式的数百万或者甚至数十亿的文件。此外,现有的数量往往以相当大的速率增长(例如,每年两位数的增长)。
对于这样的数据大小和增长,IT部门需要考虑多个复杂的场景,包括关于顺从性、安全性和存储。对于非结构化数据(例如,文件)、半结构化数据(例如,带有属性储存库的文件)以及结构化数据(例如,数据库),这些场景是相关的。这些数据通常没有被积极地管理,并且以非结构化形式保存在文件共享中。
为管理对诸如文件等资源(对象)的访问,当前安全模型是基于对该对象具有访问控制策略,该访问控制策略允许合法用户具有访问权而限制未授权用户的访问。然而,除了经由包含数据的资源上的访问控制列表(ACL)、基于业务策略来保护访问以外,企业还寻求基于内容敏感性来保护数据。
作为示例,考虑这样的文件,该文件带有对安全小组中几百个用户授予读访问的安全策略。如果文件内容有时被无意地更新使得文件暴露顾客记录数据,则公司可能不再想向整个安全小组提供这样的访问。然而,没有用于检测内容改变并随后修订安全策略的自动机制。
文件中已改变的内容可能具有公司希望如何处理数据的其他暗示。例如,公司可能想要内容中的以下改变:添加敏感性数据以更改可如何发布数据,诸如以便防止包含该数据的文件被附在电子邮件中、或以明文复制到便携式存储设备(例如USB设备)上。
使用现有安全模型来防止对作为已改变内容的结果进行访问和/或发布是不可能的。这导致非预期的信息泄露和数据的内部破坏,且这是多个企业等(包括在受管制工业中以及公共部门中)面临的重大问题。
概述
提供本概述以便以简化形式介绍将在以下的详细描述中进一步描述的一些代表性概念。本概述不旨在标识出所要求保护的主题的关键特征或必要特征,也不旨在以限制所要求保护的主题的范围的任何方式来使用。
简言之,本文描述的主题的各方面涉及以下技术:基于策略来确定对资源的访问,该策略用于针对与该资源的访问请求相关联的用户声明来评估与该资源相关联的资源标签。在一个实现中,该策略从该资源解耦,且与该资源分开地/独立地维护,从而提供将同一策略应用于多个资源的方式。
资源可以是文件,且资源标签可通过将该文件分类成分类属性来获取。以此方式,例如,对该文件的内容改变导致重新分类,该重新分类可改变其资源标签,由此根据其相应的一个或多个用户声明来改变哪些用户可访问该文件。
该访问可从策略中确定,该策略可仅基于资源标签对比用户声明评估、或结合一个或多个其他评估结果来指定访问。例如,访问控制列表对比用户令牌评估可被进一步用于确定是授予还是拒绝访问。由此,例如,策略可指定用户是用户小组的成员(基于ACL的评估)而且具有对比资源敏感级的足够许可级(基于资源标签的评估)来获取访问。在另一示例中,策略可指定用户或是用户小组的成员(基于ACL的评估)或是被标识为特定项目的成员(基于资源标签的评估)来获取访问。
结合附图阅读以下详细描述,本发明的其他优点会变得显而易见。
附图简述
作为示例而非限制,在附图中示出了本发明,附图中相同的附图标记指示相同或相似的元素,附图中:
图1是表示用于基于资源标签对比用户声明来控制资源访问的计算环境中的示例组件的框图。
图2是表示在授予对资源的访问中可由安全授权机构采取的步骤的流程图。
图3示出了可以将本发明的各个方面集成到其中的计算环境的说明性示例。
详细描述
本文描述的技术的各方面通常涉及基于通过对资源进行分类所获取的分类属性集(一个或多个分类属性)来将访问策略应用于该资源。这是基于通过处理该资源的当前内容来获取分类属性集的至少一部分。
与资源相关联的、用于确定对该资源的访问的分类属性被称为资源标签。如下文描述的,请求访问该资源的实体提供了针对该资源标签(或多个资源标签)所评估的一个或多个用户声明,以便确定是授予还是拒绝与访问有关的操作。由此,例如,如果文件的内容改变,则该文件被重新分类,借此其资源可对改变加标签,由此防止对已改变的资源标签不具有一个或多个适当的用户声明的用户进行访问。作为更具体的一个示例,如果文件改变了使得现在该文件包含敏感数据,则该文件被重新分类,从而产生经修改的资源标签,该经修改的资源标签防止那些不具备允许其访问这类敏感数据的用户声明的用户进行访问。
应当理解,此处的任何示例均是非限制性的。实际上,为说明起见,本文一般描述了对形式为文件的资源的访问,但是文件仅仅是资源的一种类型;其他资源可包括任何数据集以及物理实体和/或虚拟实体,其中数据集诸如文件的诸部分、数据库行和/或列等,物理实体诸如计算机和外围设备,虚拟实体诸如应用角色。因此,本发明不限于在此描述的任何具体的实施例、方面、概念、结构、功能或示例。相反,在此所描述的实施例、方面、概念、结构、功能或示例中的任何一个都是非限制性的,并且本发明可以按一般在计算和资源访问中提供益处和优点的各种方式来使用。
图1示出示例计算环境,其中当前与访问控制列表(ACL)104相关联的资源102由分类器106分类,以获取包括至少一个资源标签108的分类属性集。注意,分类可导致获取包含与该资源相关联的许多分类属性的属性集,且该属性集可包括不止一个资源标签,然而,出于简明/解释的目的,图1中仅示出一个资源标签。对于文件资源,资源和ACL被维持在存储110中,该存储110也可用于高速缓冲包括资源标签108的分类属性。
可包括处理数据项内容的分类在第12/427,755号美国专利申请中进一步描述,该专利申请通过引用被结合于此。该技术在微软公司的Server2008 R2中实现为文件分类基础结构(FCI),并且可以用作文件服务器资源管理器(FSRM)服务器角色的一部分,所述文件分类基础结构用于定义分类属性并将其分配给文件,并且指定动作以应用于文件服务器上的文件。
资源标签108以某一方式与资源相关联,所述方式例如通过根据某些规则将资源标签自动分配给文档的声明性分类规则、通过指向分类属性的高速缓存的参考指针、和/或通过将资源标签存储在文件资源的替代数据流中,如在通过引用被结合于此的第12/605,451号、题为“用于文件分类的替代数据流高速缓存(Alternate Data Stream Cache for File Classification)”的美国专利申请中描述的。注意,资源标签可从分类规则中推断出来,而不必被存储。
一般而言,资源标签108包含可以与用户声明联合用来应用策略的信息。然而,经高速缓存的资源标签可能是过时的或以其他方式无效的。例如,存在许多经高速缓存的资源标签可以是过时的方式,包括如果文件被修改或移动(从而使属性不适用);由此,这包括内容改变,和/或如果文件被重命名或移动到文件系统内的另一位置(这可能导致基于新位置的分类改变)。经高速缓存的资源标签变为无效的另一种方式是如果在先前分类中使用的分类规则(在上述第12/427,755号美国专利申请中描述的)已经被修改,和/或如果确定分类的模块的内部状态或配置被修改。例如,即使分类规则未改变,组合两个或更多分类规则的顺序和/或方式也可能改变,任何这样的状态改变可能导致不同的文件属性分类结果,并因此导致无效的经高速缓存的资源标签。
因此,在相对于用户声明评估资源标签以前,检验高速缓存资源标签的有效性和最新状态以确定是否需要重新分类。如果是,则执行重新分类,如在上述美国专利申请中描述的。注意到可以检验经高速缓存的属性集中的部分或全部的有效性,和/或可以重新分类资源的部分或全部以更新经高速缓存的属性集。
转向资源标签知晓的安全模型对策略的应用,当对资源102的访问请求112由安全授权引擎114(例如,被构建到操作系统中)接收到时,授权引擎114处理该请求以查看在访问请求112中所标识出的与访问有关的操作是否被允许。在一个实现中,访问请求112与常规访问令牌116相关联,该常规访问令牌116可取决于一个或多个策略118针对资源的ACL 104而被评估。
如已知的,常规的基于ACL的安全针对令牌116来比较资源的ACL。然而,基于ACL的策略基本上是静态的,且不根据文档中的内容(例如,数据的敏感性)而改变。使外部代理监视内容改变并适当地改变ACL是可能的,然而,这并不实际,因为这涉及相当的管理复杂性;例如,这样的代理在任何策略改变的情况下必须监视并有可能改变成百/上千个文件的策略。
作为对比,如本文描述的,资源标签108对比用户声明120的评估提供了文档状态(例如,其敏感性、文件所属的项目等)与处理这些标签的策略118之间的分离。策略改变可集中地进行,同时维护文件上的标签。
由此,如本文描述的,取决于该策略(或多个策略)118,可针对资源标签108来评估用户声明120(基于资源的当前状态),以便确定与访问有关的操作是否被允许。如图1中所示,授权引擎114的策略评估机制122(下文参考图2所例示的)执行安全检查,该安全检查可包括针对包括用户声明120的访问令牌116来评估ACL 104和/或资源标签108。在这一示例中,策略评估机制122授予或拒绝访问。
出于完整性而在图1中示出的是策略结合器124。一般而言,可能存在资源访问的许多策略分量,诸如全局策略、域专用策略、局部策略、目录策略等如跨组织定义的和/或由企业所有者定义的策略。如在策略应用中一般公知的,诸如继承、覆盖、阻止等概念可用于建立对资源的组合的策略。然而,尽管各策略由此可以如所需的那样复杂、如单个策略那样少,但直接策略可与文描述的技术一起使用,例如,以便在访问令牌/用户声明满足资源标签和ACL的情况下授予访问。同时,这样的策略易于改变,因为该策略与各个资源是分开的。
在一个实现中,授权引擎114基于微软公司的7增强的授权运行时。7运行时支持使用基于声明(基于“名称-值”对)的身份来指定复杂策略的条件表达式语言。
作为示例,以下策略(可被重写成安全描述符定义语言,或称SDDL)规定XYZ公司全职雇员可批准小于10000(美元)的核准量:
(XA;;APPROVE;;;WD;(member_of {SG_XYZ,SG_FTE}ANDApprovalAmount<10000)).
作为如本文描述的、策略如何经由标签和用户声明来应用的一个示例,考虑这样的公司,该公司希望允许在特定环境中(诸如主存文件的业务单元)被许可访问敏感顾客数据的个人(由安全小组中的成员来表示)对带有敏感顾客数据的文档进行读访问。这种类型的策略评估“必要性”而非“充分性”,因为意图是允许被许可的个人访问该环境中的所有敏感顾客数据;相反,访问只在当业务需要这样做时才被允许。这一充分性策略由根据文档的业务需要所设置的ACL来指定。
在受管制的工业中(诸如财务、医疗、公共部门等)政府管制需要或要求这类限制,以便防止泄露财务信息、顾客数据和业务关键数据。如上所述,使用当前ACL模型的策略实施是不实际的。文本描述的技术实施策略而无需物理地将该策略附连到资源,由此使其非常有弹性、易于实施、且跨带有业务敏感数据的一个或多个计算机集合来分布。
继续该示例:公司希望基于资源标签来实施对特定用户组的访问,以便指定只有“SG_ClearedPrnl”小组成员可读取带有“customerData(顾客数据)”声明的文件,但在其他方面任何人(带有用于资源ACL的其他方面的适当令牌)可读取不带这类数据的文件,以下可被设置成该策略:
(XA;;GR;;;WD;(resource.Exists(customerData) ANDmember_of{SG_ClearedPrnl}OR NOT(resource.Exists(customerData)))
如可以看到的,如果文件包含顾客数据,则读访问仅授予那些作为SG_ClearedPrnl小组成员的用户。如果文件先前没有包含顾客数据,而随后被修改以包含顾客数据,则文件将被重新分类(由于内容改变),且指示该文件中存在顾客数据的资源标签与该文件相关联。由此,访问基于文件中是否存在顾客数据而改变。
作为另一示例,可将级别分配给资源标签和用户声明,级别随后可以按比较方式被用于基于其分类的级别来允许或禁止访问资源:
(XA;;GR;;;WD;(user.clearanceLevel>=resource.sensitivityLevel)
当资源首先被分类时,该分类可在资源标签中设置敏感级别。针对用户的许可级别(与用户声明中的数据对应的值等)来比较资源的敏感级别(与资源标签中的数据对应的值等),以便确定是否达到了该敏感级别(借此访问被允许)。如果资源以某种方式被改变且随后被重新分类,则资源标签中的敏感级别可改变,由此增加或降低访问文件所需的许可级别。
另一示例允许访问用户项目的文件,即便用户不是可访问该文件的安全小组的一部分。例如,根据以下策略(其可按适当的语言来重写),可给予诸如顾问之类的非雇员对文件的访问权,该文件原本仅可由雇员访问。
(XA;;GR;;;WD;(user.projects OVERLAP resource.projects))
注意,以上提供的用于评估复合条件,复合条件包括允许后期绑定解析的用户声明和资源标签。一个示例是“User.Projects any_of Resource.Projects”等。
图2示出策略如何可被用于基于ACL和/或资源标签对比用户声明来确定对资源的访问的简化示例。在图2中,存在所简化的用于使用ACL以及资源标签的两个可能策略,即,对于访问是否需要ACL和资源标签两者(即,“与(AND)”逻辑组合,诸如作为用户小组中的成员“与”具有足够的许可),或者是否任一项就能授予访问(即,“或(OR)”逻辑组合,诸如作为用户小组中的成员“或”被标识成与项目相关联)。策略设置如何将逻辑应用于给定资源,且如可容易地理解的,更复杂的逻辑组合(非(NOT)、异或(XOR)等)也是可行的。例如,资源标签可能要求多个小组(复合主体)中的用户成员关系以获取访问。其他示例包括各条件,诸如使资源仅在一天的特定时间、以特定量(如在其他地方所记录的)对适当用户可访问等。
步骤202表示确定对于给定资源,资源标签是否被高速缓存,即,分类先前是否已被执行。如果是,则步骤204评估资源标签是否为有效且最新的、或是否需要重新分类,如在前述“用于文件分类的替代数据流高速缓存(Alternate Data Stream Cache for File Classification)”的专利申请中一般地描述的。如果需要初始分类(步骤202)或重新分类(步骤204),则执行步骤206来对该资源分类/重新分类。步骤208表示高速缓存分类属性(包括一个或多个资源标签)以供后续使用。
步骤210表示对比资源的ACL来评估用户的访问令牌,即,执行常规访问检查。如果访问将被授予,则在这一简化示例中步骤212评估该访问自身是否足够(策略规定ACL访问“或”资源标签访问);如果是,则访问被授予,如步骤220中表示的。这对应于“项目”示例,例如,用户可通过用户小组声明(对比ACL)“或”具有项目用户声明(对比资源标签)来获取访问。
在“项目”示例中获取访问的其他方式是,如果在步骤210处ACL不授予访问,则在步骤214处策略为“‘或’资源标签”。如果是,则步骤216经由用户声明对比资源标签在步骤216处评估用户访问。如果资源标签允许访问,则步骤216分支到步骤220以允许访问,否则,访问经由步骤218被拒绝。
如上所述,图2的逻辑还处理“与”组合,诸如需要在安全小组中“与”具有敏感数据的许可。如通过跟随步骤212和/或214的“与”分支可以容易地理解的,访问要求ACL检查和资源标签都被通过。注意,分类可为文件设置资源标签,使得步骤216自动地被通过(除非之后被不同地重新分类),例如,敏感级别为零,使得每个人都有许可直到以其他方式被重新分类。
注意,对于资源的与所请求的访问有关的操作可以不止是简单的读或写(或执行)访问。使用以上示例之一,用户可能正请求文件访问以便以明文将该文件复制到便携式存储设备(例如,直接地或经由剪贴板)。尽管可在访问策略的边界内允许读访问(例如,在域机器上),以明文进行复制可能被允许或可能不被允许,这取决于如资源标签对比请求者的用户声明中所反映的当前文件内容。在其他示例中,另一与所请求的访问有关的操作可以是将数据片附连到电子邮件消息,这也将取决于资源标签对比请求者的用户声明。这样的策略可以被指定,且可以在适当配备的授权引擎/操作系统中实现。
此外,访问策略可随文件移动,诸如在文件的替代数据流中。例如,基于文件内容的本质,可能需要当文件移出访问策略边界时将访问策略与文件一起包装,使得在文件再次被复制回遵照该访问策略的设备的情况下应用策略。为实施这一操作,文件在超出访问策略的边界时被保护(例如,被加密)。
基于资源属性来访问的其他场景包括跨储存库维护访问策略。当文件在不同的机器和储存库之间移动时(例如,从文件服务器移动到只要该文件维护其标签,且只要该文件停留在同一策略域中(在那里分类标签被引用到同一访问策略),则访问策略被维护。
如可以看到的,提供了基于用户声明对比资源标签来实施访问策略的能力,包括用于基于文件的分类属性将访问策略应用于该文件。用户声明和资源标签可在复杂条件集中使用,复杂条件集诸如许可/敏感级别、和/或其他逻辑组合。这便于灵活且复杂的策略,包括用于复杂主体和其他条件,这在已知系统中当前是不可用的。
示例性操作环境
图3示出图1和2的示例可在其上实现的合适计算和联网环境300的示例。计算系统环境300只是合适计算环境的一个示例,而非意在暗示对本发明使用范围或功能有任何限制。也不应该将计算环境300解释为对示例性操作环境300中示出的任一组件或其组合有任何依赖性或要求。
本发明可用各种其他通用或专用计算系统环境或配置来操作。适用于本发明的公知计算系统、环境、和/或配置的示例包括但不限于:个人计算机、服务器计算机、手持式或膝上型设备、平板设备、多处理器系统、基于微处理器的系统、机顶盒、可编程消费电子产品、网络PC、微型计算机、大型计算机、包括任何以上系统或设备的分布式计算环境等等。
本发明可在诸如程序模块等由计算机执行的计算机可执行指令的通用上下文中描述。一般而言,程序模块包括执行特定任务或实现特定抽象数据类型的例程、程序、对象、组件、数据结构等等。本发明也可以在其中任务由通过通信网络链接的远程处理设备执行的分布式计算环境中实现。在分布式计算环境中,程序模块可以位于包括存储器存储设备在内的本地和/或远程计算机存储介质中。
参考图3,用于实现本发明的各方面的示例性系统可包括计算机310形式的通用计算设备。计算机310的组件可以包括但不限于:处理单元320、系统存储器330和将包括系统存储器在内的各种系统组件耦合至处理单元320的系统总线321。系统总线321可以是若干类型的总线结构中的任一种,包括使用各种总线体系结构中的任一种的存储器总线或存储器控制器、外围总线、以及局部总线。作为示例而非限制,这样的体系结构包括工业标准体系结构(ISA)总线、微通道体系结构(MCA)总线、增强型ISA(EISA)总线、视频电子标准协会(VESA)局部总线,以及也称为夹层(Mezzanine)总线的外围部件互连(PCI)总线。
计算机310通常包括各种计算机可读介质。计算机可读介质可以是能由计算机310访问的任何可用介质,并包含易失性和非易失性介质以及可移动、不可移动介质。作为示例而非限制,计算机可读介质可包括计算机存储介质和通信介质。计算机存储介质包括以存储诸如计算机可读的指令、数据结构、程序模块或其他数据之类的信息的任何方法或技术实现的易失性和非易失性、可移动和不可移动介质。计算机存储介质包括,但不仅限于,RAM、ROM、EEPROM、闪存或其他存储器技术、CD-ROM、数字多功能盘(DVD)或其他光盘存储、磁带盒、磁带、磁盘存储或其他磁存储设备,或可以用来存储所需信息并可以被计算机310访问的任何其他介质。通信介质通常以诸如载波或其他传输机构之类的已调制数据信号来具体化计算机可读指令、数据结构、程序模块或其他数据,并且包括任何信息传送介质。术语“已调制数据信号”是指具有以在信号中编码信息的方式被设定或改变其一个或多个特征的信号。作为示例而非限制,通信介质包括诸如有线网络或直接线连接之类的有线介质,以及诸如声学、RF、红外及其他无线介质之类的无线介质。上面各项中的任何项的组合也包括在计算机可读介质的范围内。
系统存储器330包括易失性和/或非易失性存储器形式的计算机存储介质,如只读存储器(ROM)331和随机存取存储器(RAM)332。包含诸如在启动期间帮助在计算机310内的元件之间传输信息的基本例程的基本输入/输出系统333(BIOS)通常储存储在ROM 331中。RAM 332通常包含处理单元320可立即访问和/或当前正在操作的数据和/或程序模块。作为示例而非限制,图3示出了操作系统334、应用程序335、其他程序模块336和程序数据337。
计算机310也可以包括其他可移动/不可移动、易失性/非易失性计算机存储介质。仅作为示例,图3示出了从不可移动、非易失性磁介质中读取或向其写入的硬盘驱动器341,从可移动、非易失性磁盘352中读取或向其写入的磁盘驱动器351,以及从诸如CD ROM或其他光学介质等可移动、非易失性光盘356中读取或向其写入的光盘驱动器355。可在示例性操作环境中使用的其他可移动/不可移动、易失性/非易失性计算机存储介质包括但不限于,磁带盒、闪存卡、数字多功能盘、数字录像带、固态RAM、固态ROM等。硬盘驱动器341通常通过诸如接口340之类的不可移动存储器接口连接到系统总线321,并且磁盘驱动器351和光盘驱动器355通常通过诸如接口350之类的可移动存储器接口连接到系统总线321。
以上描述并在图3中示出的驱动器及其相关联的计算机存储介质为计算机310提供了对计算机可读指令、数据结构、程序模块和其他数据的存储。例如,在图3中,硬盘驱动器341被示为存储操作系统344、应用程序345、其他程序模块346和程序数据347。注意,这些组件可与操作系统334、应用程序335、其他程序模块336和程序数据337相同,也可与它们不同。操作系统344、应用程序345、其他程序模块346和程序数据347在这里被标注了不同的附图标记是为了说明至少它们是不同的副本。用户可通过诸如平板或者电子数字化仪364、话筒363、键盘362和定点设备361(通常指的是鼠标、跟踪球或触摸垫)等输入设备向计算机310输入命令和信息。图3中未示出的其他输入设备可以包括操纵杆、游戏手柄、圆盘式卫星天线、扫描仪等。这些以及其他输入设备通常通过耦合到系统总线的用户输入接口360连接到处理单元320,但也可通过诸如并行端口、游戏端口或通用串行总线(USB)之类的其他接口和总线结构来连接。监视器391或其他类型的显示设备也通过诸如视频接口390之类的接口连接至系统总线321。监视器391也可以与触摸屏面板等集成。注意到监视器和/或触摸屏面板可以在物理上耦合至其中包括计算设备310的外壳,诸如在平板型个人计算机中。此外,诸如计算设备310等计算机还可以包括其他外围输出设备,诸如扬声器395和打印机396,它们可以通过输出外围接口394等连接。
计算机310可使用到一个或多个远程计算机(诸如,远程计算机380)的逻辑连接而在联网环境中操作。远程计算机380可以是个人计算机、服务器、路由器、网络PC、对等设备或其他常见网络节点,并且通常包括许多或所有以上相对计算机310所描述的元件,但在图3中仅示出了存储器存储设备381。图3中所示的逻辑连接包括一个或多个局域网(LAN)371和一个或多个广域网(WAN)373,但也可以包括其他网络。此类联网环境在办公室、企业范围的计算机网络、内联网和因特网中是常见的。
当在LAN联网环境中使用时,计算机310通过网络接口或适配器370连接到LAN 371。当在WAN联网环境中使用时,计算机310通常包括调制解调器372或用于通过诸如因特网等WAN 373建立通信的其他手段。可为内置或可为外置的调制解调器372可以经由用户输入接口360或其他合适的机构连接至系统总线321。诸如包括接口和天线的无线联网组件可通过诸如接入点或对等计算机等合适的设备耦合到WAN或LAN。在联网环境中,相对于计算机310所示的程序模块或其部分可被存储在远程存储器存储设备中。作为示例而非限制,图3示出了远程应用程序385驻留在存储器设备381上。可以理解,所示的网络连接是示例性的,也可以使用在计算机之间建立通信链路的其他手段。
辅助子系统399(例如,用于内容的辅助显示)可经由用户接口360连接,从而即使计算机系统的主要部分处于低功率状态中,也允许诸如程序内容、系统状态和事件通知等数据被提供给用户。辅助子系统399可连接至调制解调器372和/或网络接口370,从而在主处理单元320处于低功率状态中时,也允许在这些系统之间进行通信。
结语
尽管本发明易于作出各种修改和替换构造,但其某些说明性实施例在附图中示出并在上面被详细地描述。然而应当了解,这不旨在将本发明限于所公开的具体形式,而是相反地,旨在覆盖落入本发明的精神和范围之内的所有修改、替换构造和等效方案。
Claims (15)
1.一种在计算环境中在至少一个处理器上执行的方法,所述方法包括:
基于从资源去耦的策略来确定对所述资源的访问,包括确定与所述资源相关联的资源标签是否被高速缓存,并且如果不是,则对所述资源分类并高速缓存所述资源标签,如果是,则评估所述资源标签是否是有效的或是否需要重新分类,以及针对与访问请求相关联的用户声明来评估与所述资源相关联的资源标签,其中所述资源标签包括与所述资源相关联的被用于确定对所述资源的访问的分类属性,并且其中所述访问请求标识所述用户声明所请求的资源;
响应于所述资源标签不是有效的确定,提示对所述资源进行重新分类以获得有效资源标签;
响应于所述策略授予对所述资源的访问的确定,允许对所述资源进行访问;以及
响应于所述策略不授予对所述资源的访问的确定,拒绝对所述资源进行访问。
2.如权利要求1所述的方法,其特征在于,还包括:从经由一个或多个分类规则所获取的资源分类中获取所述资源标签。
3.如权利要求2所述的方法,其特征在于,所述分类规则包括向特定文件分配特定资源标签的声明性指令,其中所述资源是文件,且获取每一资源标签包括基于以下各项来执行所述资源分类:所述文件内容的改变,所述文件的一个或多个标签的改变,所述文件的其他属性的改变,所述文件的位置的改变,分类规则的改变,或一个或多个分类规则的状态改变,或所述文件内容的改变、所述文件的一个或多个标签的改变、所述文件的其他属性的改变、所述文件的位置的改变、分类规则的改变、或一个或多个分类规则的状态改变中的任意组合。
4.如权利要求1所述的方法,其特征在于,还包括:基于耦合到所述资源的访问控制列表来进一步确定所述访问。
5.如权利要求1所述的方法,其特征在于,针对与所述访问请求相关联的用户声明来评估与所述资源相关联的资源标签包括评估复合条件。
6.如权利要求1所述的方法,其特征在于,还包括:将所述资源标签与文件相关联地进行高速缓存。
7.如权利要求1所述的方法,其特征在于,针对与所述访问请求相关联的用户声明来评估所述资源标签包括:确定与所述用户声明中的数据对应的用户许可级别值是否达到了与所述资源标签中的数据对应的资源敏感级别值。
8.一种在计算环境中的系统,包括:基于策略来确定对资源的访问的授权引擎,包括通过使用所述策略中的信息来针对与访问请求相关联的用户声明来评估与所述资源相关联的资源标签,包括确定与所述资源相关联的资源标签是否被高速缓存,并且如果不是,则对所述资源分类并高速缓存所述资源标签,如果是,则评估所述资源标签是否是有效的或是否需要重新分类来获得有效的资源标签,其中所述资源标签包括与所述资源相关联的被用于确定对所述资源的访问的分类属性,并且其中所述访问请求标识所述用户声明所请求的资源。
9.如权利要求8的系统,其特征在于,所述策略是基于策略分量的组合、或所述策略是独立于所述资源来维护并应用于多个资源,或者所述策略是基于策略分量的组合、且所述策略是独立于所述资源来维护并应用于多个资源。
10.如权利要求8所述的系统,其特征在于,所述资源包括文件,且进一步包括通过对所述文件进行分类来提供所述资源标签的分类器。
11.如权利要求8所述的系统,其特征在于,所述资源包括文件,且所述资源标签被高速缓存在所述文件的替代数据流中。
12.一种在计算环境中在至少一个处理器上执行的方法,所述方法包括:处理访问请求以授予或拒绝与访问有关的对资源的操作,包括获取从所述资源解耦的策略,以及使用所述策略来确定是授予还是拒绝所述与访问有关的操作,包括通过针对与所述访问请求相关联的用户声明来评估与所述资源相关联的资源标签,包括确定与所述资源相关联的资源标签是否被高速缓存,并且如果不是,则对所述资源分类并高速缓存所述资源标签,如果是,则评估所述资源标签是否是有效的或是否需要重新分类来获得有效的资源标签,其中所述资源标签包括与所述资源相关联的被用于确定对所述资源的访问的分类属性,并且其中所述访问请求标识所述用户声明所请求的资源。
13.如权利要求12所述的方法,其特征在于,所述资源是文件,所述资源标签与所述文件相关联地进行高速缓存,且还包括:确定所述资源级别是否为有效且最新的,如果否,则获取有效且最新的资源标签,并将所述有效且最新的资源标签与所述文件相关联地进行高速缓存。
14.如权利要求12所述的方法,其特征在于,多个策略是适用的,且其中使用所述策略来确定是授予还是拒绝与访问有关的操作还包括:在逻辑上将针对用户声明来对与所述资源相关联的资源标签进行评估的结果与至少一个其他策略评估的结果相结合。
15.如权利要求14所述的方法,其特征在于,至少一个其他策略评估的结果包括基于访问控制列表的评估结果。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US12/622,441 US9038168B2 (en) | 2009-11-20 | 2009-11-20 | Controlling resource access based on resource properties |
| US12/622,441 | 2009-11-20 | ||
| PCT/US2010/054722 WO2011062743A2 (en) | 2009-11-20 | 2010-10-29 | Controlling resource access based on resource properties |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN102667719A CN102667719A (zh) | 2012-09-12 |
| CN102667719B true CN102667719B (zh) | 2015-08-26 |
Family
ID=44060263
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201080052356.XA Active CN102667719B (zh) | 2009-11-20 | 2010-10-29 | 基于资源属性控制资源访问 |
Country Status (7)
| Country | Link |
|---|---|
| US (1) | US9038168B2 (zh) |
| EP (1) | EP2502144B1 (zh) |
| JP (1) | JP5722337B2 (zh) |
| KR (1) | KR101751088B1 (zh) |
| CN (1) | CN102667719B (zh) |
| HK (1) | HK1173537A1 (zh) |
| WO (1) | WO2011062743A2 (zh) |
Families Citing this family (65)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20110087670A1 (en) * | 2008-08-05 | 2011-04-14 | Gregory Jorstad | Systems and methods for concept mapping |
| EP2332066A4 (en) * | 2008-10-03 | 2013-07-31 | Benefitfocus Com Inc | SYSTEMS AND METHOD FOR THE AUTOMATIC PRODUCTION OF AGENT-BASED SYSTEMS |
| US8918867B1 (en) * | 2010-03-12 | 2014-12-23 | 8X8, Inc. | Information security implementations with extended capabilities |
| US8601549B2 (en) * | 2010-06-29 | 2013-12-03 | Mckesson Financial Holdings | Controlling access to a resource using an attribute based access control list |
| US8572760B2 (en) * | 2010-08-10 | 2013-10-29 | Benefitfocus.Com, Inc. | Systems and methods for secure agent information |
| US9208332B2 (en) | 2010-12-24 | 2015-12-08 | Microsoft Technology Licensing, Llc | Scoped resource authorization policies |
| US8935705B2 (en) | 2011-05-13 | 2015-01-13 | Benefitfocus.Com, Inc. | Execution of highly concurrent processing tasks based on the updated dependency data structure at run-time |
| US8898806B1 (en) * | 2011-12-15 | 2014-11-25 | Symantec Corporation | Systems and methods for protecting services |
| US8966576B2 (en) * | 2012-02-27 | 2015-02-24 | Axiomatics Ab | Provisioning access control using SDDL on the basis of a XACML policy |
| US8875302B2 (en) | 2012-05-15 | 2014-10-28 | International Business Machines Corporation | Classification of an electronic document |
| US8832848B1 (en) * | 2012-07-26 | 2014-09-09 | Symantec Corporation | Systems and methods for content-aware access control |
| EP2696303B1 (en) | 2012-08-03 | 2017-05-10 | Alcatel Lucent | Mandatory access control (MAC) in virtual machines |
| US8990883B2 (en) * | 2013-01-02 | 2015-03-24 | International Business Machines Corporation | Policy-based development and runtime control of mobile applications |
| US10341281B2 (en) * | 2013-01-22 | 2019-07-02 | Amazon Technologies, Inc. | Access control policies associated with freeform metadata |
| EP2948840B1 (en) * | 2013-01-22 | 2020-08-12 | Amazon Technologies, Inc. | Use of freeform metadata for access control |
| US9576141B2 (en) | 2013-01-22 | 2017-02-21 | Amazon Technologies, Inc. | Access controls on the use of freeform metadata |
| US9530020B2 (en) * | 2013-01-22 | 2016-12-27 | Amazon Technologies, Inc. | Use of freeform metadata for access control |
| US20140379915A1 (en) * | 2013-06-19 | 2014-12-25 | Cisco Technology, Inc. | Cloud based dynamic access control list management architecture |
| CN103427998B (zh) * | 2013-08-20 | 2016-12-28 | 航天恒星科技有限公司 | 一种面向互联网数据分发的身份验证和数据加密方法 |
| US20150235049A1 (en) * | 2014-02-20 | 2015-08-20 | International Business Machines Corporation | Maintaining Data Privacy in a Shared Data Storage System |
| GB2527285B (en) * | 2014-06-11 | 2021-05-26 | Advanced Risc Mach Ltd | Resource access control using a validation token |
| US10454970B2 (en) * | 2014-06-30 | 2019-10-22 | Vescel, Llc | Authorization of access to a data resource in addition to specific actions to be performed on the data resource based on an authorized context enforced by a use policy |
| US9967283B2 (en) | 2014-09-14 | 2018-05-08 | Sophos Limited | Normalized indications of compromise |
| US9992228B2 (en) | 2014-09-14 | 2018-06-05 | Sophos Limited | Using indications of compromise for reputation based network security |
| GB2564589B (en) * | 2014-09-14 | 2019-07-03 | Sophos Ltd | Labeling computing objects for improved threat detection |
| US9967264B2 (en) | 2014-09-14 | 2018-05-08 | Sophos Limited | Threat detection using a time-based cache of reputation information on an enterprise endpoint |
| US9967282B2 (en) | 2014-09-14 | 2018-05-08 | Sophos Limited | Labeling computing objects for improved threat detection |
| US9537841B2 (en) | 2014-09-14 | 2017-01-03 | Sophos Limited | Key management for compromised enterprise endpoints |
| US10965711B2 (en) | 2014-09-14 | 2021-03-30 | Sophos Limited | Data behavioral tracking |
| US10122687B2 (en) | 2014-09-14 | 2018-11-06 | Sophos Limited | Firewall techniques for colored objects on endpoints |
| US9965627B2 (en) | 2014-09-14 | 2018-05-08 | Sophos Limited | Labeling objects on an endpoint for encryption management |
| US9396343B2 (en) * | 2014-10-20 | 2016-07-19 | International Business Machines Corporation | Policy access control lists attached to resources |
| US10277522B1 (en) * | 2014-11-26 | 2019-04-30 | Amazon Technologies, Inc. | Automated association of computing resources with resource creators for usage allocation |
| CN105871577A (zh) * | 2015-01-22 | 2016-08-17 | 阿里巴巴集团控股有限公司 | 资源权限管理方法及装置 |
| CN104809405B (zh) * | 2015-04-24 | 2018-06-01 | 广东电网有限责任公司信息中心 | 基于分级分类的结构化数据资产防泄露方法 |
| CN104866780B (zh) * | 2015-04-24 | 2018-01-05 | 广东电网有限责任公司信息中心 | 基于分级分类的非结构化数据资产防泄露方法 |
| US20170170990A1 (en) * | 2015-12-15 | 2017-06-15 | Microsoft Technology Licensing, Llc | Scalable Tenant Networks |
| US10609042B2 (en) * | 2016-02-15 | 2020-03-31 | Cisco Technology, Inc. | Digital data asset protection policy using dynamic network attributes |
| US10659466B2 (en) | 2016-03-22 | 2020-05-19 | Microsoft Technology Licensing, Llc | Secure resource-based policy |
| CN107968798B (zh) * | 2016-10-19 | 2023-04-07 | 中兴通讯股份有限公司 | 一种网管资源标签获取方法、缓存同步方法、装置及系统 |
| US10713355B2 (en) * | 2016-10-21 | 2020-07-14 | Qatar University | Method and system for adaptive security in cloud-based services |
| US10523590B2 (en) | 2016-10-28 | 2019-12-31 | 2236008 Ontario Inc. | Channel-based mandatory access controls |
| KR20180057036A (ko) | 2016-11-21 | 2018-05-30 | 삼성전자주식회사 | 효율적인 리소스 관리를 위한 전자 장치 및 이의 방법 |
| US10521599B2 (en) * | 2017-02-28 | 2019-12-31 | 2236008 Ontario Inc. | Label transition for mandatory access controls |
| CN106991013B (zh) * | 2017-04-18 | 2018-09-07 | 腾讯科技(深圳)有限公司 | 一种对资源请求进行处理的方法及装置 |
| US10491584B2 (en) * | 2017-05-22 | 2019-11-26 | General Electric Company | Role-based resource access control |
| US10491635B2 (en) * | 2017-06-30 | 2019-11-26 | BlueTalon, Inc. | Access policies based on HDFS extended attributes |
| US10846263B2 (en) * | 2017-09-22 | 2020-11-24 | Microsoft Technology Licensing, Llc | Systems and methods for implementing content aware file management labeling |
| US10819652B2 (en) * | 2018-07-02 | 2020-10-27 | Amazon Technologies, Inc. | Access management tags |
| US10540207B1 (en) * | 2018-07-18 | 2020-01-21 | International Business Machines Corporation | Fast, low memory, consistent hash using an initial distribution |
| US11212312B2 (en) * | 2018-08-09 | 2021-12-28 | Microsoft Technology Licensing, Llc | Systems and methods for polluting phishing campaign responses |
| US11481377B2 (en) * | 2018-10-30 | 2022-10-25 | Microsoft Technology Licensing, Llc | Compute-efficient effective tag determination for data assets |
| CN109726572A (zh) * | 2018-12-28 | 2019-05-07 | 中国移动通信集团江苏有限公司 | 数据管控方法、装置、设备、计算机存储介质及系统 |
| US11443056B2 (en) | 2019-09-20 | 2022-09-13 | International Business Machines Corporation | File access restrictions enforcement |
| US11321488B2 (en) * | 2019-09-20 | 2022-05-03 | International Business Machines Corporation | Policy driven data movement |
| US11327665B2 (en) | 2019-09-20 | 2022-05-10 | International Business Machines Corporation | Managing data on volumes |
| US11328089B2 (en) | 2019-09-20 | 2022-05-10 | International Business Machines Corporation | Built-in legal framework file management |
| US11580239B2 (en) * | 2019-10-22 | 2023-02-14 | Microsoft Technology Licensing, Llc | Controlling access to cloud resources in data using cloud-enabled data tagging and a dynamic access control policy engine |
| CN111064701A (zh) * | 2019-11-08 | 2020-04-24 | 浪潮电子信息产业股份有限公司 | 一种共享数据安全访问控制方法、装置、设备、介质 |
| US11334672B2 (en) | 2019-11-22 | 2022-05-17 | International Business Machines Corporation | Cluster security based on virtual machine content |
| CN111259417A (zh) * | 2020-01-13 | 2020-06-09 | 奇安信科技集团股份有限公司 | 文件处理方法及装置 |
| CN113381969B (zh) * | 2020-03-09 | 2023-06-27 | 北京达佳互联信息技术有限公司 | 资源访问控制方法、装置及设备和存储介质 |
| US11797702B2 (en) * | 2021-03-11 | 2023-10-24 | EMC IP Holding Company LLC | Access control rights assignment capabilities utilizing a new context-based hierarchy of data based on new forms of metadata |
| US11983192B1 (en) | 2021-12-31 | 2024-05-14 | Capital Rx, Inc. | Computing technologies for data organization based on tags |
| CN116701304B (zh) * | 2023-07-06 | 2023-11-03 | 北京应天海乐科技发展有限公司 | 用于自助设备的文件管理方法、装置、设备及存储介质 |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1782943A (zh) * | 2004-10-01 | 2006-06-07 | 微软公司 | 集成访问授权 |
| CN101114295A (zh) * | 2007-08-11 | 2008-01-30 | 腾讯科技(深圳)有限公司 | 检索在线广告资源的方法和装置 |
Family Cites Families (37)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US3976009A (en) * | 1974-04-24 | 1976-08-24 | Delgado Manuel M | Composite cast structure and process for manufacture of same |
| US5052040A (en) * | 1990-05-25 | 1991-09-24 | Micronyx, Inc. | Multiple user stored data cryptographic labeling system and method |
| US5889952A (en) * | 1996-08-14 | 1999-03-30 | Microsoft Corporation | Access check system utilizing cached access permissions |
| US5991877A (en) * | 1997-04-03 | 1999-11-23 | Lockheed Martin Corporation | Object-oriented trusted application framework |
| US7035850B2 (en) * | 2000-03-22 | 2006-04-25 | Hitachi, Ltd. | Access control system |
| US7185192B1 (en) * | 2000-07-07 | 2007-02-27 | Emc Corporation | Methods and apparatus for controlling access to a resource |
| JP3790661B2 (ja) * | 2000-09-08 | 2006-06-28 | インターナショナル・ビジネス・マシーンズ・コーポレーション | アクセス制御システム |
| US6928427B2 (en) * | 2001-03-09 | 2005-08-09 | Arcot Systems, Inc. | Efficient computational techniques for authorization control |
| US7016893B2 (en) * | 2001-05-29 | 2006-03-21 | Sun Microsystems, Inc. | Method and system for sharing entry attributes in a directory server using class of service |
| US6895503B2 (en) * | 2001-05-31 | 2005-05-17 | Contentguard Holdings, Inc. | Method and apparatus for hierarchical assignment of rights to documents and documents having such rights |
| US7069330B1 (en) * | 2001-07-05 | 2006-06-27 | Mcafee, Inc. | Control of interaction between client computer applications and network resources |
| US7380271B2 (en) * | 2001-07-12 | 2008-05-27 | International Business Machines Corporation | Grouped access control list actions |
| US7124192B2 (en) * | 2001-08-30 | 2006-10-17 | International Business Machines Corporation | Role-permission model for security policy administration and enforcement |
| US7092942B2 (en) * | 2002-05-31 | 2006-08-15 | Bea Systems, Inc. | Managing secure resources in web resources that are accessed by multiple portals |
| JP2004017569A (ja) * | 2002-06-19 | 2004-01-22 | Fuji Xerox Co Ltd | インクジェット記録方法 |
| US20040073668A1 (en) * | 2002-10-10 | 2004-04-15 | Shivaram Bhat | Policy delegation for access control |
| GB0425113D0 (en) * | 2004-11-13 | 2004-12-15 | Ibm | A method of determining access rights to IT resources |
| CN100490387C (zh) * | 2004-12-28 | 2009-05-20 | 北京邮电大学 | 用于应用服务器的基于令牌的细粒度访问控制系统及方法 |
| US7593942B2 (en) * | 2004-12-30 | 2009-09-22 | Oracle International Corporation | Mandatory access control base |
| US20060230282A1 (en) * | 2005-04-06 | 2006-10-12 | Hausler Oliver M | Dynamically managing access permissions |
| US7475138B2 (en) * | 2005-06-23 | 2009-01-06 | International Business Machines Corporation | Access control list checking |
| US7779265B2 (en) * | 2005-12-13 | 2010-08-17 | Microsoft Corporation | Access control list inheritance thru object(s) |
| WO2007120360A2 (en) * | 2005-12-29 | 2007-10-25 | Blue Jungle | Information management system |
| US8677499B2 (en) * | 2005-12-29 | 2014-03-18 | Nextlabs, Inc. | Enforcing access control policies on servers in an information management system |
| US9942271B2 (en) * | 2005-12-29 | 2018-04-10 | Nextlabs, Inc. | Information management system with two or more interactive enforcement points |
| US8621549B2 (en) * | 2005-12-29 | 2013-12-31 | Nextlabs, Inc. | Enforcing control policies in an information management system |
| US7716240B2 (en) * | 2005-12-29 | 2010-05-11 | Nextlabs, Inc. | Techniques and system to deploy policies intelligently |
| WO2007089786A2 (en) * | 2006-01-30 | 2007-08-09 | Sudhakar Govindavajhala | Identifying unauthorized privilege escalations |
| JP2007293630A (ja) | 2006-04-25 | 2007-11-08 | Toshiba Corp | アクセス制御方法およびこれを用いたデータベースシステム |
| US20080034438A1 (en) * | 2006-08-07 | 2008-02-07 | International Business Machines Corporation | Multiple hierarchy access control method |
| JP5270863B2 (ja) * | 2007-06-12 | 2013-08-21 | キヤノン株式会社 | データ管理装置及び方法 |
| US20090055937A1 (en) * | 2007-08-22 | 2009-02-26 | Samuel Ehab M | System, Method and Machine-Readable Medium for Periodic Software Licensing |
| US7934249B2 (en) * | 2007-08-27 | 2011-04-26 | Oracle International Corporation | Sensitivity-enabled access control model |
| US9292305B2 (en) * | 2008-01-14 | 2016-03-22 | International Business Machines Corporation | Declarative instance based access control for application resources with persisted attributes and state |
| US8839344B2 (en) * | 2008-01-28 | 2014-09-16 | Microsoft Corporation | Access policy analysis |
| CN101448002B (zh) | 2008-12-12 | 2011-12-14 | 北京大学 | 一种数字资源的访问方法及设备 |
| US9270679B2 (en) * | 2009-06-23 | 2016-02-23 | Yahoo! Inc. | Dynamic access control lists |
-
2009
- 2009-11-20 US US12/622,441 patent/US9038168B2/en active Active
-
2010
- 2010-10-29 CN CN201080052356.XA patent/CN102667719B/zh active Active
- 2010-10-29 WO PCT/US2010/054722 patent/WO2011062743A2/en active Application Filing
- 2010-10-29 JP JP2012539924A patent/JP5722337B2/ja active Active
- 2010-10-29 KR KR1020127012954A patent/KR101751088B1/ko active IP Right Grant
- 2010-10-29 EP EP10831970.8A patent/EP2502144B1/en active Active
-
2013
- 2013-01-17 HK HK13100778.3A patent/HK1173537A1/zh unknown
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1782943A (zh) * | 2004-10-01 | 2006-06-07 | 微软公司 | 集成访问授权 |
| CN101114295A (zh) * | 2007-08-11 | 2008-01-30 | 腾讯科技(深圳)有限公司 | 检索在线广告资源的方法和装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| KR20120117018A (ko) | 2012-10-23 |
| JP2013511770A (ja) | 2013-04-04 |
| EP2502144B1 (en) | 2016-04-20 |
| KR101751088B1 (ko) | 2017-06-26 |
| JP5722337B2 (ja) | 2015-05-20 |
| US9038168B2 (en) | 2015-05-19 |
| WO2011062743A2 (en) | 2011-05-26 |
| EP2502144A2 (en) | 2012-09-26 |
| HK1173537A1 (zh) | 2013-05-16 |
| EP2502144A4 (en) | 2013-05-22 |
| US20110126281A1 (en) | 2011-05-26 |
| CN102667719A (zh) | 2012-09-12 |
| WO2011062743A3 (en) | 2011-08-18 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN102667719B (zh) | 基于资源属性控制资源访问 | |
| EP1946238B1 (en) | Operating system independent data management | |
| US8127133B2 (en) | Labeling of data objects to apply and enforce policies | |
| US7890530B2 (en) | Method and system for controlling access to data via a data-centric security model | |
| US8281410B1 (en) | Methods and systems for providing resource-access information | |
| US20140173733A1 (en) | Exploit detection and reporting of a device using server chaining | |
| US20040117371A1 (en) | Event-based database access execution | |
| US20090300712A1 (en) | System and method for dynamically enforcing security policies on electronic files | |
| CN102201043A (zh) | 基于资源属性审核对数据的访问 | |
| US9646170B2 (en) | Secure endpoint file export in a business environment | |
| US20230186240A1 (en) | Systems, Methods and Architectures for Dynamic Re-Evaluation of Rights Management Rules for Policy Enforcement on Downloaded Content | |
| US20110126293A1 (en) | System and method for contextual and behavioral based data access control | |
| US8863304B1 (en) | Method and apparatus for remediating backup data to control access to sensitive data | |
| US10623427B2 (en) | Adaptive online data activity protection | |
| Ananthanarayanan et al. | Management of conflicting obligations in self-protecting policy-based systems | |
| KR20120139271A (ko) | 전자문서 유출 방지 시스템 및 그 방법 | |
| RU2405198C2 (ru) | Интегрированное санкционирование доступа | |
| MXPA05009332A (es) | Autorizacion de acceso integrado. | |
| Liu | Trust-based access control for collaborative system | |
| Murray | Ownership and custody of data | |
| CN116680749A (zh) | 数据库访问管理方法、装置、存储介质及电子设备 | |
| YOUSSIF et al. | FILEPRO: FILE PROTECTION ON FILE SERVERS USING LINUX KERNEL MODULE | |
| Paulse et al. | Investigating the Performance Implications of an Operating System DRM Controller |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| REG | Reference to a national code |
Ref country code: HK Ref legal event code: DE Ref document number: 1173537 Country of ref document: HK |
|
| ASS | Succession or assignment of patent right |
Owner name: MICROSOFT TECHNOLOGY LICENSING LLC Free format text: FORMER OWNER: MICROSOFT CORP. Effective date: 20150729 |
|
| C41 | Transfer of patent application or patent right or utility model | ||
| TA01 | Transfer of patent application right |
Effective date of registration: 20150729 Address after: Washington State Applicant after: Micro soft technique license Co., Ltd Address before: Washington State Applicant before: Microsoft Corp. |
|
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| REG | Reference to a national code |
Ref country code: HK Ref legal event code: GR Ref document number: 1173537 Country of ref document: HK |