CN103299268B - 用于确定用户组对数据元素组的数据访问权限的方法及装置 - Google Patents
用于确定用户组对数据元素组的数据访问权限的方法及装置 Download PDFInfo
- Publication number
- CN103299268B CN103299268B CN201080071011.9A CN201080071011A CN103299268B CN 103299268 B CN103299268 B CN 103299268B CN 201080071011 A CN201080071011 A CN 201080071011A CN 103299268 B CN103299268 B CN 103299268B
- Authority
- CN
- China
- Prior art keywords
- user
- resource
- group
- access rights
- computer
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/604—Tools and structures for managing or administering access control systems
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/104—Grouping of entities
Abstract
本发明公开了一种用于确定对一存储单元的计算机资源的用户访问权限的方法,所述方法包括将用户分组成多个用户组,其中至少一个用户组的所有组员对所述计算机资源具有至少几乎相同的用户/资源访问权限;将资源分组成多个资源组,其中至少一个资源组的所有部分具有至少几乎相同的资源/用户访问权限;确定所给定的用户是否是一用户组的一组员,若所给定的用户是一用户组的一员,则将所述用户组的用户/资源访问权限归于所述给定的用户;确定所给定的资源是否是一资源组的一部分,若所给定的资源是一资源组的一部分,则将所述资源组的资源/用户访问权限归于所述给定的资源。
Description
技术领域
本发明涉及数据安全领域,尤其涉及在大型组织中的大量资源和用户的数据安全。
背景技术
以下的美国专利被认为是代表本领域的当前状态:美国专利号6772350、美国专利号6308173和美国专利号5889952。
发明内容
本发明的目的在于提供一种用于确定用户对具有大量资源和用户的一大型组织中的计算机资源的访问权限的方法和系统。
因此,根据本发明的一较佳实施例,提供一种确定一第一多重用户对至少一存储单元内的一第二多重计算机资源的访问权限的方法,所述方法包括:
将所述第一多重用户中的用户分组成一第一多个组,其中第一多个组的至少一组的所有组员对至少一个存储单元的所述第二多重计算机资源具有至少几乎相同的用户/资源访问权限;
将所述第二多重计算机资源中的资源分组成一第二多个组,其中第二多个组的至少一组的所有部分具有至少几乎相同的资源/用户访问权限;
确定一给定的用户是否是所述第一多个组的其中一组的一组员;
若所述给定的用户是所述第一多个组的所述其中一组的一组员,则将所述第一多个组的所述其中一组的用户/资源访问权限归于所述给定的用户,
确定一给定的资源是否是所述第二多个组的其中一组的一部分,以及
若所述给定的资源是所述第二多个组的所述其中一组的一部分,则将所述第二多个组的所述其中一组的资源/用户访问权限归于所述给定的资源。
根据本发明一较佳实施例,所述分组用户步骤包括确认一组用户安全组,每一所述用户安全组对至少一存储单元的至少一所述第二多重计算机资源具有访问权限;针对所述第一多重用户的每一用户,确认所述用户安全组的一子集,其中在所述用户安全组的子集中,所述用户为一组员;以及若所述用户安全组的一第一子集相同于所述用户安全组的一第二子集,那么相对于所述至少一存储单元,在所述第一多个组中的一单个组内,将一第一用户和一第二用户进行分组;其中,在所述用户安全组的一第一子集中,所述第一多重用户的第一用户为一组员;在所述用户安全组的一第二子集中,所述第一多重用户的第二用户为一组员。
根据本发明的一较佳实施例,所述分组用户步骤包括将所述第二多重计算机资源划分成至少两个部分,且在所述第一多重用户中将所述用户分组成所述第一多个组,其中所述第一多个组的其中一组的所有组员对包括在至少两部分中其中一部分的计算机资源具有至少几乎相同的用户/资源访问权限。
根据本发明的另一较佳实施例,所述划分步骤包括对所述第一多重用户的每一用户,计算出所述用户具有访问权限的所述第二多重计算机资源的一小部分资源,并比较所述小部分资源与一阈值;将所述小部分资源小于所述阈值的每一用户,以一降级安全组来表示;以及定义所述第二多重计算机资源的一第一部分为所有计算机资源的集合,其中所述计算机资源包括任意一降级安全组的访问权限。
根据本发明的另一较佳实施例,在所述第二多重计算机资源内的计算机资源被安排在一计算机资源分层中。较佳地,所述分组资源步骤包括针对计算机资源分层中的每一资源,检索在所述计算机资源分层中的所述资源的资源/用户访问权限,以及在所述计算机资源分层中的所述资源的一直系始源(immediate ancestor)的资源/用户访问权限;以及若所述直系始源的资源/用户访问权限相同于所述资源的资源/用户访问权限,在所述第二多个组中的一单个组中,将所述资源和所述直系始源进行分组。附加地或替换地,所述分组资源步骤包括提供一指针,由所述资源指向所述直系始源,并延伸指向所述资源的指针至指向所述直系始源。
根据本发明另一较佳实施例,附加地提供一种用于确定一第一多重用户对至少一存储单元的一第二多重计算机资源的访问权限的方法,所述方法包括:将所述第一多重用户中的用户分组为一第一多个组,其中所述第一多个组的至少一组的所有组员对所述至少一存储单元的所述第二多重计算机资源具有至少几乎相同的用户/资源访问权限;确定一给定用户是否是所述第一多个组的其中一组的一组员,以及若所述给定的用户是所述第一多个组的所述其中一组的一组员,将所述第一多个组的所述其中一组的用户/资源归于所述给定的用户。
根据本发明另一较佳实施例,所述分组用户步骤包括:确认一组用户安全组,每一所述用户安全组对所述至少一存储单元的至少一所述第二多重计算机资源具有访问权限;针对所述第一多重用户的每一用户,确认所述用户安全组的一子集,其中在所述用户安全组的子集中,所述用户为一组员;以及若所述用户安全组的一第一子集相同于所述用户安全组的一第二子集,那么相对于所述至少一存储单元,在所述第一多个组中的一单个组内,将一第一用户和一第二用户进行分组;其中在所述用户安全组的一第一子集中,所述第一多重用户的第一用户为一组员;在所述用户安全组的一第二子集中,所述第一多重用户的第二用户为一组员。
根据本发明的另一较佳实施例,所述分组用户步骤包括将所述第二多重计算机资源划分成至少两部分,且在所述第一多重用户中将所述用户分组成所述第一多个组,其中所述第一多个组的其中一组的所有组员对包括在所述至少两部分中的其中一部分的计算机资源具有至少几乎相同的用户/资源访问资源。较佳地,所述划分步骤包括:对所述第一多重用户的每一用户,计算出所述用户具有访问权限的所述第二多重计算机资源的一小部分资源,并比较所述小部分资源与一阈值;将所述小部分资源小于所述阈值的每一用户,以一降级安全组来表示;以及定义所述第二多重计算机资源的一第一部分为所有计算机资源的集合,其中所述计算机资源包括任意一降级安全组的访问权限。
根据本发明的另一较佳实施例,附加地提供一种用于确定一第一多重用户对至少一存储单元的一第二多重计算机资源的访问权限的方法,所述方法包括:将所述第二多重计算机资源中的资源分组为一多个组,其中所述多个组中的至少一组的所有部分具有至少几乎相同的资源/用户访问权限;确定一给定资源是否是所述多个组的其中一组的一部分;以及若所述给定的资源是所述多个组的所述其中一组的一部分,则将所述多个组的所述其中一组的资源/用户访问权限归于所述给定的资源。
根据本发明的另一较佳实施例,在所述第二多重计算机资源内的计算机资源被安排在一计算机资源分层中。较佳地,所述分组资源步骤包括:针对所述计算机资源分层中的每一资源,检索在所述计算机资源分层中的所述资源的资源/用户访问权限,以及在所述计算机资源分层中的所述资源的一直系始源的资源/用户访问权限;以及若所述直系始源的资源/用户访问权限相同于对所述资源的资源/用户访问权限,在所述第二多个组中一单个组中,将所述资源和所述直系始源进行分组。
根据本发明的一较佳实施例,所述分组资源步骤包括:提供一指针,由所述资源指向所述直系始源,并延伸指向所述资源的指针至指向所述直系始源。
根据本发明的另一较佳实施例,提供一种用于确定一第一多重用户对至少一存储单元内的一第二多重计算机资源的访问权限的装置,所述装置包括:
用户分组功能,用以将在所述第一多重用户分组为一第一多个组,其中所述第一多个组中的至少一组的所有组员对所述至少一存储单元的所述第二多重计算机资源具有至少几乎相同的用户/资源访问权限;
计算机资源分组功能,用以将所述第二多重计算机资源中的计算机资源分组为一第二多个组,其中所述第二多个组中的至少一个组的所有部分具有至少几乎相同的资源/用户访问权限;
用户访问权限归属功能,用以确定一给定的用户是否是所述第一多个组的其中一组的一组员,若所述给定的用户为所述第一多个组的所述其中一组的一组员,则将所述第一多个组中的所述其中一组的用户/资源访问权限归于所述给定的用户;以及
计算机资源访问权限归属功能,用于确定一给定的计算机资源是否是所述第二多个组的其中一组的一部分,若所述给定的计算机资源是所述第二多个组的所述其中一组的一部分,则将所述第二多个组中的所述其中一组的资源/用户访问权限归于所述给定的计算机资源。
根据本发明的一较佳实施例,所述用户分组功能包括:用户安全组确认功能,用以确认一多个用户安全组,每一所述用户安全组对所述至少一存储单元的至少一所述第二多重计算机资源具有访问权限;用户安全组子集确认功能,用以针对所述第一多重用户的每一用户,确认所述用户安全组的一子集,其中在所述用户安全组的子集中,所述用户为一组员;以及用户子集比较功能,用以若所述用户安全组的一第一子集相同于所述用户安全组的一第二子集,那么相对于所述至少一存储单元,在所述第一多个组的一单个组内,将一第一用户和一第二用户进行分组;其中,在所述用户安全组的一第一子集中,所述第一用户为一组员;在所述用户安全组的一第二子集中,所述第二用户为一组员。
根据本发明的一优选实施例,所述装置还包括一计算机资源划分功能,用以将所述第二多重计算机资源划分成至少两部分,其中所述用户分组功能用以在所述第一多重用户中将用户分组成所述第一多个组,其中所述第一多个组的其中一组的所有组员对包括在所述至少两部分中的其中一部分的计算机资源具有至少几乎相同的用户/资源访问权限。
根据本发明的一优选实施例,所述计算机资源划分功能包括:小部分资源计算功能,用以对所述第一多重用户的每一用户,计算出所述用户具有访问权限的所述第二多重计算机资源的一小部分资源,并比较所述小部分资源与一阈值;用户表示功能,用以将所述小部分资源小于阈值的每一用户,以一降级安全组来表示;以及部分定义功能,用以定义所述第二多重计算机资源的一第一部分为所有计算机资源的集合,其中所述计算机资源包括任意一降级安全组的访问权限。较佳地,在所述第二多重计算机资源内的计算机资源被安排在一计算机资源分层中。
根据本发明的另一优选实施例,所述计算机资源分组功能包括:资源/用户访问权限检索功能,用以针对所述计算机资源分层中的每一资源,检索在所述计算机资源分层中的所述资源的资源/用户访问权限,以及在所述计算机资源分层中的所述资源的一直系始源的资源/用户访问权限;资源/用户访问权限比较功能,用以比较所述资源的资源/用户访问权限与所述直系始源的资源/用户访问权限,若所述直系始源的资源/用户的访问资源相同于所述给定资源的资源/用户的访问权限,在所述第二多个组中的一单个组中,将所述资源和所述直系始源进行分组。
根据本发明的另一较佳实施例,所述资源/用户访问权限比较功能,用以提供一指针,由所述资源指向所述直系始源,并延伸指向所述资源的指针至指向所述直系始源。
根据本发明的另一较佳实施例,附加地提供一种用于确定一第一多重用户对至少一存储单元的一第二多重计算机资源的访问权限的装置,所述装置包括用户分组功能,用以将所述第一多重用户中的用户分组为一第一多个组,其中所述第一多个组中的至少一组的所有组员对所述至少一存储单元的所述第二多重计算机资源具有至少几乎相同的用户/资源的访问权限;以及用户访问权限归属功能,用以确定一给定的用户是否是所述第一多个组的其中一组的一组员,若所述给定的用户是所述第一多个组的所述其中一组的一组员,将所述第一多个组的所述其中一组的用户/资源访问权限归于所述给定的用户。
根据本发明的一较佳实施例,所述用户分组功能包括:用户安全组确认功能,用以确认一多个用户安全组,每一所述用户安全组对所述至少一存储单元的至少一所述第二多重计算机资源具有访问权限;用户安全组子集确认功能,用以针对所述第一多重用户的每一用户,确认所述用户安全组的一子集,其中在所述用户安全组的子集中,所述用户为一组员;用户子集比较功能,用以若所述用户安全组的一第一子集相同于所述用户安全组的一第二子集,那么相对于所述至少一存储单元,在所述第一多个组的一单个组内,将一第一用户和一第二用户进行分组,其中在所述用户安全组的一第一子集中,所述第一用户为一组员;在所述用户安全组的一第二子集中,所述第二用户为一组员。
根据本发明的另一较佳实施例,所述装置也包括一计算机资源划分功能,用以将所述第二多重计算机资源划分成至少两部分,其中所述用户分组功能用以在所述第一多重用户中将用户分组成所述第一多个组,其中所述第一多个组的其中一组的所有组员对包括在所述至少两部分中的其中一部分的计算机资源具有至少几乎相同的用户/资源访问权限。较佳地,所述计算机资源划分功能包括小部分资源计算功能,用以对所述第一多重用户的每一用户,计算出所述用户具有访问权限的所述第二多重计算机资源的小部分资源,并比较所述小部分资源与一阈值;用户表示功能,用以将所述小部分资源小于所述阈值的每一用户,以一降级安全组来表示;以及部分定义功能,用以定义所述第二多重计算机资源的一第一部分为所有计算机资源的集合,其中所述计算机资源包括任意一降级安全组的访问权限。
根据本发明的另一较佳实施例,附加地提供一种用于确定一第一多重用户对至少一存储单元的一第二多重计算机资源的访问权限的装置,所述装置包括计算机资源分组功能,用以将所述第二多重计算机资源中的资源分组为一第二多个组,其中所述第二多个组中的至少一组的所有部分具有至少几乎相同资源/用户访问权限;以及计算机资源访问权限归属功能,用以确定一给定的计算机资源是否是所述第二多个组的其中一组的一部分,若所述给定的计算机资源是所述第二多个组的所述其中一组的一部分,将所述第二多个组的所述其中一组的资源/用户访问权限归于所述给定的计算机资源。较佳地,在所述第二多重计算机资源内的计算机资源被安排在一计算机资源分层中。
根据本发明的另一较佳实施例,所述计算机资源分组功能包括:资源/用户访问权限检索功能,用以针对所述计算机资源分层中的每一资源,检索在所述计算机资源分层中的资源/用户访问权限,以及在所述计算机资源分层中的所述资源的一直系始源的资源/用户访问权限;以及资源/用户访问权限比较功能,用以比较所述资源的资源/用户访问权限和所述直系始源的资源/用户访问权限,若所述直系始源的资源/用户访问权限相同于所述资源的资源/用户访问权限,在所述第二多个组的一单个组中,将所述资源和所述直系始源进行分组。
根据本发明的另一较佳实施例,所述资源/用户访问权限比较功能,用以提供一指针,由所述资源指向所述直系始源,并延伸指向所述资源的指针至指向所述直系始源。
附图说明
结合参考以下的附图和详细说明将更充分地理解和明白本发明,其中:
图1是本发明一较佳实施例表示在一大型组织中具有大量的资源和用户的简要示意图;
图2是本发明一较佳实施例表示一种用于确定在一具有大量的资源和用户的大型组织中用户对资源的访问权限的方法的简要流程示意图;
图3A和图3B为图2所述方法的部分方法,一起表示用于在一大型组织中基于用户的访问权限以对用户进行分组的方法的简要流程示意图;
图4A和图4B为图2所述方法的部分方法,一起表示用于在一大型组织中基于资源的访问权限以对资源进行分组的方法的简要流程示意图;以及
图5A、5B和5C为图2所述方法的部分方法,一起表示用于计算一访问权限的查询响应的方法的简要流程示意图。
具体实施方式
数据安全策略通常决定谁能够访问一组织的数据,该数据通常是存储在不同的计算机系统内。这些策略很少是静态的,其部分原因是来自于所述组织的用户,例如雇员、合伙人或承包人能够对敏感数据造成的威胁与来自组织外部的威胁一样的严重。因此,作为构成组织变革的结构和人员,应该对安全策略作相应的调整。信息技术部门经常发现在保护企业敏感数据的同时,管理用户数据的访问权限及确保方便获得所需信息是困难的。
大型企业组织所操作的计算机系统包括大量服务器,所述服务器通常是地域分布的。大量用户可以访问计算机系统中的存储元件。与数据访问授权相关联的不同人群包括信息技术人员、操作人员例如帐户管理者,以及第三方评论员例如法律顾问,对特定数据的用户访问权限需要作日常查询。
一传统的本地或分布式数据库的维护(maintenance)能够压倒(overwhelm)现存有的最复杂的数据管理程序能力,其中本地或分布式数据库适用于对任何特别用户或用户组的访问权限的查询响应,或相反地,用于对相对于一特别存储元件或存储元件组的访问权限的查询响应。存储并检索像查询服务所需数据,可能会对不同服务器的存储容量有着负面影响。另外,执行这样的查询可能会影响服务器的性能,于是可能会降低计算机系统的整个效率。更进一步,由于处理查询响应通常需要通过多个文件服务器的目录及其访问控制列表以进行一个全面的迭代搜索,因此对于像这样的查询响应的时间变得不可接受的长。
访问控制技术并未在利用多种访问控制模型的系统中最佳地实施。对系统管理员而言,想要知道像这样的环境下哪个用户被授权而可以访问每一特定数据项,在现有技术情况下还不存在简单的方法。因此,在许多组织中,有不恰当的访问权限的用户数量多得令人无法接受。同时也缺乏一种用于对冗余访问权限和不再属于组织的人员的孤立帐户的相关问题的解决方案。因此,需要在控制用户访问权限上加以改进,以使数据安全,防止欺诈行为及改善公司的生产效率。更进一步,那些负责系统安全性的简单化和自动化的人员会关注误用数据访问权限,甚至是被授权的用户所误用的。
参考图1所示,表示一具有一第一多重用户和一第二多重计算机资源的大型组织,所述计算机资源例如计算机文件可能存在多个文件服务器中。所述用户和文件服务器可能独立于他们的职能被地域地分布。
根据本发明的一较佳实施例,当响应访问权限的查询时,所述第二多重计算机资源的一分层结构,和/或所述第一多重用户的一组根据它们相对存于一特定服务器内的计算机资源的访问权限而被部署,于是对像这样的查询有着更好的响应时间。
关于一给定用户,术语“用户/资源访问权限”涉及位于在一特定服务器或存储单元内的一系列计算机资源,其中所给定的用户对所述计算机资源具有访问权限。因此,相对于一特定的服务器或存储单元,若两个用户具有相同的用户/资源访问权限,那么所述两个用户对存于上述服务器或存储单元内的计算机资源列表具有相同的访问权限。
进一步需理解的是,在本发明的上下文中,术语“访问权限”涉及读取权限、写入权限以及执行权限,或其中任意一种组合。例如,若一给定的用户对所给定的资源具有读取权限,即使该用户对所给定的资源不具有写入权限或执行权限,那么该给定的用户仍具有访问权限。
根据本发明的一较佳实施例,如图1所示,提供一种用于确定所述第一多重用户对至少一存储单元的第二多重计算机资源的访问权限的方法,其中,第一多重用户用参考数字102予以表示,第二多重计算机资源用参考数字104予以表示,存储单元用参考数字106予以表示,所述存储单元较佳地为多个文件服务器。
较佳地,在第一多重用户102中定义一第一多个用户组,其中所述第一多个用户组中的每一用户组的所有组员对一给定文件服务器106的计算机资源具有至少几乎相同的用户/资源访问权限。
例如,如图1所示,在会计部门的人员,无论是在印度、巴西或加拿大,他们可能是同一用户组的组员,此处被指定为字母A。类似地,在研发部门的人员,无论是在西班牙、巴西或印度,他们可能是同一用户组的组员,此处被指定为字母D。
类似地,在所述第二多重计算机资源中定义一第二多个计算机资源,其中所述第二多重计算机资源中的每一计算机资源的所有部分具有至少几乎相同的资源/用户访问权限,例如一相同的用户组或几乎相同的用户组可以访问在一给定组内的每一计算机文件。
例如,如图1所示,涉及应付账款的所有文件可以为同一计算机资源组的部分,此处被指定为字母 “a”。类似地,开发一扇门的所有文件可以为同一计算机资源组的部分,此处被指定为字母“d”。
应该可以理解的是每一用户组的所有组员具有至少几乎相同的用户/资源访问权限。例如,用户组A的所有组员可以访问公司的账户,用户组D的所有组员可以访问工程文件。
类似地,应该可以理解的是每一计算机资源组的所有部分具有至少几乎相同的资源/用户访问权限,例如,记账员可以访问计算机资源组“a”的所有部分,设计工程师可以访问计算机资源组“d”的所有部分。
为了响应一查询或相反地为了准备一以表明特定用户或计算机资源的访问权限概况的报告,有可能要快速确认一给定的用户是否是所述第一多个用户组中的其中一组的一组员,若是的话,快速将所述第一多个用户组中的其中一组的用户/资源访问权限归于所述给定的用户。类似地,有可能要快速确认一给定的计算机资源是否是所述第二多个计算机资源组中的其中一组的一部分,若是的话,快速将所述第二多个计算机资源组中的其中一组的资源/用户访问权限归于所述给定的计算机资源。
因此,可避免现有技术中所采用的耗时的迭代处理。
应该可以理解的是,本发明的实施例仅是分成了用户组或是计算机资源组,但不会用户组和计算机资源组都在本发明的保护范围之内。
参考图2所示,将说明根据本发明的一较佳实施例,用以执行以下步骤的方法。
现在参考图2,其表示根据本发明的一较佳实施例,在一具有大量资源和用户的大型组织中,确定用户对计算机资源的访问权限的普通方法的简要流程示意图。
如图2所示,在一第一预备阶段,在所述组织内的用户根据其相对于在组织中一给定的服务器的访问权限而被分组,如步骤200所示。尤其是,对于每一服务器,在所述组织中的用户被划分成多个用户组,其中在每一组中的用户相对服务器中的文件具有类似的或最好相同的访问权限。结合参考图3所示,以下将更具体地说明对用户进行分组的方法。
如步骤202所示,在一第二预备阶段,在所述组织内的计算机资源根据对其的访问权限而被分组。尤其是,在一分层服务器系统中,除非有其他指明,一计算机资源应与其直系始源一样具有相同的访问权限。因此,计算机资源可以被分组,以至每一子级计算机资源指向其父级计算机资源的访问控制列表,而不是复制访问控制列表,其中每一子级计算机资源所具有的访问权限相同于父级计算机资源的访问权限。结合参考图4所示,以下将更具体地说明对计算机资源进行分组的方法。
应该可以理解的是,对用户进行分组的步骤200和对计算机资源进行分组的步骤202可以以任意一顺序而执行,或并行执行,或是最好是定期执行,以便在所述组织中对用户访问权限和/或的计算机资源的层次结构的变化做出解释。
在一第一处理阶段,其在上述准备阶段之后,典型地通过所述组织的一组员或所述组织的一部门提出一访问权限的查询,如步骤204所示。一典型的查询可能包括一用户子集和一存储元件子集。像这样的一查询响应将会列出针对所述用户子集中的每一用户对所述存储元件子集中的每一存储元件的访问权限。
例如,一查询可以包括将所述组织内的所有用户作为所述用户子集,将一给定的计算机资源作为所述存储元件子集。该查询响应将会确定所有用户中哪一用户具有访问所述给定计算机资源的权限。在另一例子中,所述查询可以包括将所述组织的所有计算机资源作为所述存储元件子集,以及将一给定的用户作为所述用户子集。该查询响应将会确定所有存储元件中哪一存储元件可以被所述给定的用户访问。
如步骤206所示,处理查询,并计算其响应。典型地,针对列在查询中的每一用户,查询响应包括所述用户可访问列在查询中的计算机资源的一子组的列表。结合参考图5所示,以下将更具体地说明计算对查询响应的方法。接着,所述查询响应被转至提出访问权限查询的个人或团队,如步骤208所示。
现参考图3A和图3B所示的,其一起表示用于在一大型组织中基于用户的访问权限以对用户进行分组的方法的简要流程示意图,而且该方法构成图2所示方法的第一筹备阶段200。这样分组的目的是为了创建用户组,其中在单一用户组内的用户相对存储于一给定的服务器内的计算机资源具有类似的或最好相同的访问权限。
创建这样的用户组的先决条件是定义用户安全组,其优先执行于图3A所示的第一步骤300。系统管理员预先定义用户安全组。典型地,用户安全组与所述组织中的不同部门相对应。用户安全组可以包括例如一会计用户安全组,一研发用户安全组等。每一各自用户安全组包括那些属于所述用户安全组相对应部门的用户。用户可以属于至少一个以上的用户安全组。例如,一研发部门的秘书可以属于一管理用户安全组和一研发用户安全组。
每一用户安全组对于一给定服务器的计算机资源具有预分配的访问权限。一给定计算机资源的访问控制列表为一用户安全组对所述计算机资源的访问权限的列表。
如图3A所示,选中一服务器,如步骤300所示。应该可以理解是,仅相对存于所述被选中的服务器内的计算机资源的用户访问权限而对用户进行分组。
随后,存于所述被选中的服务器内的计算机资源的访问控制列表将被审核,以便抽取(extract)那些用户安全组,因此那些属于其用户安全组的用户对至少一些计算机资源具有访问权限,其中计算机资源存于服务器中,如步骤302所示。
对于任意给定的一对用户列在其所属的任意一所述被抽取的用户安全组,比较其存储在所述被选中的服务器内的计算机资源的用户访问权限,以检查他们相对于所有存储在所述被选中的服务器内的计算机资源是否相同,如判断步骤304所示。若该对用户对存储在所述被选中的服务器内的计算机资源均具有相同的访问权限,相对于所述被选中的服务器,他们被分配至相同的初始用户组,如步骤306所示。否则,相对于所述被选中的服务器,他们被分配至两个不同的初始用户组,如步骤308所示。
这些初始用户组是所述方法旨在创建用户组的前导者。所述初始用户组可能需要进一步细化,如下文所描述的,以得到想要的最后用户组。应该理解的是,两个用户可以对所述被选中的服务器具有非常类似的访问权限,除了一个或两个特定的计算机资源的访问权限是不同的。这可能会发生,例如,当所述服务器包括一些用户的根目录,在这种情况下,两个用户可能对除了所述根目录之外的所述服务器内的所有计算机资源具有相同的访问权限,其中每一用户可能对他或她自己的特定根目录具有访问权限,但是可能通常对其他用户的根目录不具有访问权限。
即使存在具有尽管不相同但非常相似访问权限的更大的潜在初始用户组,这种情况可能会导致所述服务器被分组成多个小型初始用户组甚至是单个(singletons)。如下文所描述的,通过虚拟地将所述服务器内的计算机资源划分为至少两个的虚拟服务器,以解决该情况。
因此,以下将用户分配至初始用户组,如步骤304、步骤306和步骤308所示,并审核所产生的初始用户组数量和初始用户组大小。较佳地,初始用户组的数量与一第一预设定的阈值相比较,如判断步骤310所示,单个初始用户组的数量与一第二预设定的阈值相比较,如判断步骤312所示。若所述初始用户组的数量未超过所述第一阈值,且所述单个初始用户组的数量未超过第二阈值,则所述用户分配结束。目前,所述初始用户组和单个初始用户组构成了用户组,可参考上述内容,尤其是图2中的步骤200。
转至图3B,可以看出若初始用户组的数量超过所述第一阈值,和/或若单个初始用户组的数量超过所述第二阈值,那么所述服务器被划分为两个虚拟服务器,如步骤314所示。根据一实施例,执行所述服务器的一虚拟划分,针对每一特定用户或用户安全组,存储在所述服务器内的计算机资源的数量被确定,其中特定用户或用户安全组允许访问所述服务器,如步骤316所示。接着,计算出所述特定用户或用户安全组所允许访问的计算机资源的一小部分资源,并与一小部分资源阈值比较,例如1%,如判断步骤318。
若一特定用户或用户安全组所允许访问的计算机资源的小部分资源小于所述小部分资源阈值,所述用户或用户安全组以一降级安全组来表示,如步骤320所示。否则,所述用户或用户安全组以一重要安全组来表示,如步骤322所示。
包含所述降级安全组的访问权限的计算机资源的集合被定义为一虚拟服务器,并以一无组织虚拟服务器来表示,如步骤324所示。所述无组织虚拟服务器被认为包括少量具有类似访问控制列表的计算机资源,和/或少量具有相同访问权限的用户。基于所述无组织虚拟服务器内的计算机资源,将用户分配至初始用户组,这有可能会产生大量的初始用户组和/或单个初始用户组,是无效率的,因此是非必要的。
将不属于所述无组织虚拟服务器的服务器内的计算机资源定义为一第二虚拟服务器,并以一组织虚拟服务器来表示,如步骤326所示。所述组织虚拟服务器被认为包括具有类似访问控制列表的文件,以至基于计算机资源的访问权限,将用户分配至初始用户组,这有可能产生一少量的组织初始用户组。
接着,将所述服务器划分为两个虚拟服务器,所述组织虚拟服务器被选中,并作为相对于用户会被分配至初始用户组的服务器,如步骤328所示。随后,基于对存储在所述组织虚拟服务器内的计算机资源的访问权限,再次将用户分配至初始用户组,结合参考上述步骤302至步骤308。目前,这些初始用户组和单个初始用户组构成用户组,参考上述内容,尤其是图2所示的步骤200。
现参考图4A和图4B所示的,其一起表示用于在一大型组织中基于资源的访问权限以对计算机资源进行分组的方法的简要流程示意图,而且该方法构成图2所示方法的第二筹备阶段202。
如图4A所示,选中所述计算机资源分层的节点,用以处理,如步骤400所示。较佳地,所述计算机资源分层由叶子至根进行处理,在这种情况下,选中用于处理的第一节点是叶子,或所述计算机资源分层中最底层的节点。
对于被选中的节点,检查一直系始源是否存于分层中,如判断步骤402所示。若被选中的节点不存在一直系始源,可推导出其为所述分层中的根。该节点被指定为一相异节点,如步骤404所示,且处理结束。否则,将抽取该节点的访问控制列表,如步骤405所示,抽取被选中的节点的直系始源的访问控制列表,如步骤406所示。随后,比较被选中的节点的访问控制列表与被选中节点的直系始源的访问控制列表,如判断步骤408所示。
应该可以理解的是,若没有明确的访问控制列表与正被处理的节点相关联,正被处理的节点继承与所述直系始源相关联的访问控制列表,所述处理继续进行,如步骤410所示。
转至图4B,可以看出若被选中的节点的访问控制列表和被选中的节点的直系始源的访问控制列表是相同,一指针被加至所述分层中,其中该指针由被选中的节点指向被选中节点的直系始源的访问控制列表,如步骤410所示。另外,指向被选中节点的访问控制列表的所有指针移至指向被选中节点的直系始源的访问控制列表,如步骤412所示。一表示所述节点已被处理的处理指示被加至被选中的节点,如步骤414所示。
若被选中的节点的访问控制列表不同于被选中的节点的直系始源的访问控制列表,该节点被指定为一相异节点,如步骤416所示,一表示所述节点已被处理的处理表示被加至被选中的节点,如步骤418所示。
随后,被选中的节点所属分层的级别被审核,以便确定是否在那级别有未处理的节点,如判断步骤420所示。若在被选中的节点的级别有未处理的节点,选中在那一级别的新节点,如步骤422所示,那节点的处理如上文所述并结合参考步骤402-418继续进行。否则,选中一节点,其在所述分层中的级别比被选中的节点的级别高,该节点例如为被选中的节点的直系始源,如步骤424所示,该节点的处理如上文所述并结合参考步骤402-418继续进行。
现参考图5A、图5B和图5C所示,其一起表示计算一访问权限的查询响应的方法的简要流程示意图,该方法构成图2所述方法的步骤206。
参见图5A所示,定义一要被处理的计算机资源组,如步骤500所示。当开始处理一查询,该计算机资源组通常是空的,并且在处理该查询时才被填充。
如图5A所示,对于包含在查询中的每一计算机资源,执行步骤501,以检查包含在查询中所有相异的计算机资源节点。
步骤502所示,对于包含在查询中的每一计算机资源,检测是否包括所述计算机资源分层的一相异节点。
若计算机资源确实包括一计算机资源分层的相异节点,那么其被加至要被处理的计算机资源组,如步骤504所示,若计算机资源不包括一相异节点,与其相关联的指针跟着一始源节点,其中该始源节点包括一相异节点,如步骤506所示。
在判断步骤508中,确定包括始源节点的计算机资源是否先前被加至要被处理的计算机资源组,其中该始源节点包括一相异节点。若包括始源节点的计算机资源先前未被加至要被处理的计算机资源组,那么现在将其加入该计算机资源组,如步骤510所示。若包括始源节点的计算机资源先前被加至要被处理的计算机资源组,这就不会再次将其加至该组,但是在要被处理的计算机资源组内,会与当前处理的计算机资源相关联,以便能够提供一完整的查询响应,如步骤512所示。这通常是通过定义一指针来完成的,该指针由当前处理的计算机资源指向直系始源的实体,其中所述直系始源包含在要被处理的计算机资源组内。
如步骤513所示,选中一包含在查询内的用户,该用户的访问权限将要被处理。
转至图5B所示,如步骤514所示,选中一计算机资源,其包含在要被处理的资源组内,并确定其存在哪一物理服务器内,如步骤515所示。随后,相对于计算机资源所存在的服务器,确定所述用户所属的特定用户组,如步骤516所示。接着,在处理该计算机资源的过程中,检查是否计算出属于相同的特定用户组的另一用户的访问权限,如判断步骤518。
若先前已计算出另一用户对所给定的计算机资源的访问权限,且该另一用户属于相同的特定用户组,那么所计算出的访问权限被分配至该当前用户,如步骤520所示。否则,从访问控制列表中抽取该用户对计算机资源的访问权限,和/或该用户所属的用户组对计算机资源的访问权限,其中所述访问控制列表与所述计算机资源相关联,如步骤522所示。
随后,检查任何包含在所述组内的计算机资源是否存在,其中包含在所述组内的计算机资源相对于被选中的用户尚未被处理,如判断步骤524。
参见图5C所示,若存在像这样的一计算机资源,选中该计算机资源,如步骤526所示。相对于被选中的用户,该计算机资源的处理如上文所述并结合步骤512至步骤522而进行。若不存在像这样的一计算机资源,将检查是否有包含在查询中的任何用户,其中用户的访问权限尚未被计算出,参见判断步骤528所示。若存在像这样的一用户,选中该用户,如步骤530所示,用户的访问权限如上文所述并结合步骤514至步骤522而被处理。
参见步骤532所示,相对于包含在要被处理的计算机资源组内的每一计算机资源,当已计算出查询中的所有用户的访问权限时,生成一查询响应,其包括一成对列表,该列表包括一成对,用于包含在原始查询中的用户和计算机资源。应该可以理解的是,当生成像这样的一查询响应时,多次提供每一计算机资源的结果,以便对包含在查询中的每一计算机资源提供一查询响应,其中每一计算机资源包括一相异始源节点,用于至少一个且包含在查询内的计算机资源。
本技术领域的普通技术人员应该可以理解本发明不是仅限于上文特别所表示和描述的。本发明的范围不仅包括上文不同特征的集合和次集合,也包括普通技术人员在阅读上述描述后对特征所做的改进,且该改进的特征并未出现在现有技术中。
Claims (14)
1.一种用于确定一第一多重用户对至少一存储单元内的一第二多重计算机资源的访问权限的方法,其特征在于,所述方法包括:
定期地,在每隔一定时间,将所述第一多重用户中的用户分组成一多重用户组,其中所述组员对所述第二多重计算机资源具有至少几乎相同的用户/资源访问权限;
定期地,在每隔一定时间,将所述第二多重计算机资源中资源分组成一独立于所述用户组的多重资源组,其中所述资源具有至少几乎相同的资源/用户访问权限;
至于一多重用户对一多重资源是否具有访问权限,响应一查询:
确定所述多重用户的一第一用户对所述多重资源的一第一资源是否具有用户/资源访问权限;
确定所述第一用户是否为一第一用户组的一组员;
确定所述多重用户的多个第二用户是否为所述第一用户组的组员;
确定所述第一资源是否为一第一资源组的一组员;
确定所述多重资源的多个第二资源是否为所述第一资源组的组员;以及
若
所述第一用户对所述多重资源的所述第一资源具有用户/资源访问权限;并且
所述第一用户为所述第一用户组的一组员;并且
所述多个第二用户为所述第一用户组的组员;并且
所述第一资源为所述第一资源组的一组员;并且
所述多个第二资源为所述第一资源组的组员,则
当所述第一用户对所述第二资源具有用户/资源访问权限时,则不需要检查就能通过规定所述第一、第二用户对所述第一、第二资源具有所述用户/资源访问权限,以对所述查询进行响应;
当所述多个第二用户对所述第二资源具有用户/资源访问权限时,则不需要检查就能通过规定所述第一、第二用户对所述第一、第二资源具有所述用户/资源访问权限,以对所述查询进行响应。
2.根据权利要求1所述的方法,其特征在于,所述用户分组步骤包括:
确认一组用户安全组,每一所述用户安全组对所述至少一存储单元的至少一所述第二多重计算机资源具有访问权限;
针对所述第一多重用户的每一用户,确认所述用户安全组的一子集,其中在所述用户安全组的子集中,所述用户为一组员;以及
若所述用户安全组的一第一子集相同于所述用户安全组的一第二子集,那么相对于所述至少一存储单元,在所述多重用户组中的一单个组内,将一第一用户和一第二用户进行分组;其中,在所述用户安全组的一第一子集中,所述第一多重用户的第一用户为一组员;在所述用户安全组的一第二子集中,所述第一多重用户的第二用户为一组员。
3.根据权利要求1所述的方法,其特征在于,所述分组用户步骤包括:将所述第二多重计算机资源划分成至少两部分,且在所述第一多重用户中将所述用户分组成所述多重用户组,其中所述多重用户组的其中一组的所有组员对包括在至少两部分中的其中一部分的计算机资源具有至少几乎相同的用户/资源访问权限。
4.根据权利要求3所述的方法,其特征在于,所述划分步骤包括:
对所述第一多重用户的每一用户,计算出所述用户具有访问权限的所述第二多重计算机资源的一小部分资源,并比较所述小部分资源与一阈值;
将所述小部分资源小于所述阈值的每一用户,以一降级安全组来表示;以及
定义所述第二多重计算机资源的一第一部分为所有计算机资源的集合,其中所述计算机资源包括任意一降级安全组的访问权限。
5.根据权利要求1所述的方法,其特征在于,在所述第二多重计算机资源内的计算机资源被安排在一计算机资源分层中。
6.根据权利要求5所述的方法,其特征在于,所述分组资源步骤包括:
针对所述计算机资源分层中的每一资源,检索在所述计算机资源分层中的所述资源的资源/用户访问权限,以及在所述计算机资源分层中的所述资源的一直系始源的资源/用户访问权限;以及
若所述直系始源的资源/用户访问权限相同于所述资源的资源/用户访问权限,在所述多重资源组中的一单个组中,将所述资源和所述直系始源进行分组。
7.根据权利要求6所述的方法,其特征在于,所述分组资源步骤包括:
提供一指针,由所述资源指向所述直系始源;以及
延伸指向所述资源的指针至指向所述直系始源。
8.一种用于确定一第一多重用户对至少一存储单元内的一第二多重计算机资源的访问权限的装置,其特征在于,所述装置包括:
用户分组功能,用以定期地,在每隔一定时间,将所述第一多重用户分组为一多重用户组,其中所述组员对所述第二多重计算机资源具有至少几乎相同的用户/资源访问权限;
计算机资源分组功能,用以定期地,在每隔一定时间,将所述第二多重计算机资源中的计算机资源分组为一独立于所述用户组的多重资源组,其中所述资源具有至少几乎相同的资源/用户访问权限;
响应查询功能,至于一多重用户对一多重资源是否具有访问权限,确定所述多重用户的一第一用户对所述多重资源的一第一资源是否具有用户/资源访问权限;
确定所述第一用户是否为一第一用户组的一组员;
确定所述多重用户的多个第二用户是否为所述第一用户组的组员;
确定所述第一资源是否为一第一资源组的一组员;
确定所述多重资源的多个第二资源是否为所述第一资源组的组员;以及
若
所述第一用户对所述多重资源的所述第一资源具有用户/资源访问权限;并且
所述第一用户为所述第一用户组的一组员;并且
所述多个第二用户为所述第一用户组的组员;并且
所述第一资源为所述第一资源组的一组员;并且
所述多个第二资源为所述第一资源组的组员,则
当所述第一用户对所述第二资源具有用户/资源访问权限时,则不需要检查就能通过规定所述第一、第二用户对所述第一、第二资源具有所述用户/资源访问权限,以对所述查询进行响应;
当所述多个第二用户对所述第二资源具有用户/资源访问权限时,则不需要检查就能通过规定所述第一、第二用户对所述第一、第二资源具有所述用户/资源访问权限,以对所述查询进行响应。
9.根据权利要求8所述的装置,其特征在于,所述用户分组功能包括:
用户安全组确认功能,用以确认一多个用户安全组,每一所述用户安全组对所述至少一存储单元的至少一所述第二多重计算机资源具有访问权限;
用户安全组子集确认功能,用以针对所述第一多重用户的每一用户,确认所述用户安全组的一子集,其中在所述用户安全组的子集中,所述用户为一组员;以及
用户子集比较功能,用以若所述用户安全组的一第一子集相同于所述用户安全组的一第二子集,那么相对于所述至少一存储单元,在所述多重用户组的一单个组内,将一第一用户和一第二用户进行分组;其中,在所述用户安全组的一第一子集中,所述第一用户为一组员;在所述用户安全组的一第二子集中,所述第二用户为一组员。
10.根据权利要求8所述的装置,其特征在于,还包括一计算机资源划分功能,用以将所述第二多重计算机资源划分成至少两部分,其中所述用户分组功能用以在所述第一多重用户中将用户分组成所述多重用户组,其中所述多重用户组的其中一组的所有组员对包括在所述至少两部分中的其中一部分的计算机资源具有至少几乎相同的用户/资源访问权限。
11.根据权利要求10所述的装置,其特征在于,所述计算机资源划分功能包括:小部分资源计算功能,用以对所述第一多重用户的每一用户,计算出所述用户具有访问权限的所述第二多重计算机资源的一小部分资源,并比较所述小部分资源与一阈值;
用户表示功能,用以将所述小部分资源小于阈值的每一用户,以一降级安全组来表示;以及部分定义功能,用以定义所述第二多重计算机资源的一第一部分为所有计算机资源的集合,其中所述计算机资源包括任意一降级安全组的访问权限。
12.根据权利要求8所述的装置,其特征在于,在所述第二多重计算机资源内的计算机资源被安排在一计算机资源分层中。
13.根据权利要求12所述的装置,其特征在于,所述计算机资源分组功能包括:资源/用户访问权限检索功能,用以针对所述计算机资源分层中的每一资源,检索在所述计算机资源分层中的所述资源的资源/用户访问权限,以及在所述计算机资源分层中的所述资源的一直系始源的资源/用户访问权限;
资源/用户访问权限比较功能,用以比较所述资源的资源/用户访问权限与所述直系始源的资源/用户访问权限,若所述直系始源的资源/用户的访问资源相同于所述给定资源的资源/用户的访问权限,在所述多重资源组中的一单个组中,将所述资源和所述直系始源进行分组。
14.根据权利要求13所述的装置,其特征在于,所述资源/用户访问权限比较功能,用以提供一指针,由所述资源指向所述直系始源,并延伸指向所述资源的指针至指向所述直系始源。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201611141689.5A CN106650508A (zh) | 2010-12-29 | 2010-12-29 | 用于确定用户组对数据元素组的数据访问权限的方法及装置 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
PCT/IL2010/001090 WO2012090189A1 (en) | 2010-12-29 | 2010-12-29 | Method and apparatus for ascertaining data access permission of groups of users to groups of data elements |
Related Child Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201611141689.5A Division CN106650508A (zh) | 2010-12-29 | 2010-12-29 | 用于确定用户组对数据元素组的数据访问权限的方法及装置 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN103299268A CN103299268A (zh) | 2013-09-11 |
CN103299268B true CN103299268B (zh) | 2016-12-28 |
Family
ID=46382381
Family Applications (2)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201080071011.9A Active CN103299268B (zh) | 2010-12-29 | 2010-12-29 | 用于确定用户组对数据元素组的数据访问权限的方法及装置 |
CN201611141689.5A Pending CN106650508A (zh) | 2010-12-29 | 2010-12-29 | 用于确定用户组对数据元素组的数据访问权限的方法及装置 |
Family Applications After (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201611141689.5A Pending CN106650508A (zh) | 2010-12-29 | 2010-12-29 | 用于确定用户组对数据元素组的数据访问权限的方法及装置 |
Country Status (3)
Country | Link |
---|---|
EP (1) | EP2659351A4 (zh) |
CN (2) | CN103299268B (zh) |
WO (1) | WO2012090189A1 (zh) |
Families Citing this family (10)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
NZ623737A (en) | 2010-09-28 | 2015-10-30 | Lifetime Health Diary Ltd | Systems and methods for medical data collection and display |
US9251363B2 (en) | 2013-02-20 | 2016-02-02 | Varonis Systems, Inc. | Systems and methodologies for controlling access to a file system |
CN104598778B (zh) * | 2013-10-30 | 2018-03-23 | 中国移动通信集团江苏有限公司 | 权限调度方法及装置 |
CN105528553A (zh) * | 2014-09-30 | 2016-04-27 | 中国移动通信集团公司 | 一种数据安全共享的方法、装置和终端 |
CN105653962B (zh) * | 2014-11-14 | 2018-07-31 | 中国科学院沈阳计算技术研究所有限公司 | 一种面向对象的用户角色资源权限模型管理方法 |
EP3590102A1 (en) | 2017-03-01 | 2020-01-08 | Carrier Corporation | Access control request manager based on learning profile-based access pathways |
WO2018160407A1 (en) | 2017-03-01 | 2018-09-07 | Carrier Corporation | Compact encoding of static permissions for real-time access control |
US10891816B2 (en) | 2017-03-01 | 2021-01-12 | Carrier Corporation | Spatio-temporal topology learning for detection of suspicious access behavior |
WO2019127468A1 (zh) * | 2017-12-29 | 2019-07-04 | 华为技术有限公司 | 分组应用使用同一密钥共享数据 |
CN112465476A (zh) * | 2020-12-17 | 2021-03-09 | 中国农业银行股份有限公司 | 一种访问控制方法、装置、设备及介质 |
Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US6772350B1 (en) * | 1998-05-15 | 2004-08-03 | E.Piphany, Inc. | System and method for controlling access to resources in a distributed environment |
CN1770169A (zh) * | 2004-11-05 | 2006-05-10 | 国际商业机器公司 | 向用户/组授予访问控制列表所有权的访问控制系统和方法 |
Family Cites Families (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20020026592A1 (en) * | 2000-06-16 | 2002-02-28 | Vdg, Inc. | Method for automatic permission management in role-based access control systems |
US7260555B2 (en) * | 2001-12-12 | 2007-08-21 | Guardian Data Storage, Llc | Method and architecture for providing pervasive security to digital assets |
US7606801B2 (en) * | 2005-06-07 | 2009-10-20 | Varonis Inc. | Automatic management of storage access control |
US9407662B2 (en) * | 2005-12-29 | 2016-08-02 | Nextlabs, Inc. | Analyzing activity data of an information management system |
-
2010
- 2010-12-29 CN CN201080071011.9A patent/CN103299268B/zh active Active
- 2010-12-29 WO PCT/IL2010/001090 patent/WO2012090189A1/en active Application Filing
- 2010-12-29 EP EP10861449.6A patent/EP2659351A4/en not_active Withdrawn
- 2010-12-29 CN CN201611141689.5A patent/CN106650508A/zh active Pending
Patent Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US6772350B1 (en) * | 1998-05-15 | 2004-08-03 | E.Piphany, Inc. | System and method for controlling access to resources in a distributed environment |
CN1770169A (zh) * | 2004-11-05 | 2006-05-10 | 国际商业机器公司 | 向用户/组授予访问控制列表所有权的访问控制系统和方法 |
Non-Patent Citations (1)
Title |
---|
OLAP安全访问的层次化设计与实现;蔡榆榕等;《华侨大学学报(自然科学版)》;20071031;第28卷(第4期);382-384 * |
Also Published As
Publication number | Publication date |
---|---|
EP2659351A4 (en) | 2014-09-10 |
CN106650508A (zh) | 2017-05-10 |
EP2659351A1 (en) | 2013-11-06 |
WO2012090189A1 (en) | 2012-07-05 |
CN103299268A (zh) | 2013-09-11 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN103299268B (zh) | 用于确定用户组对数据元素组的数据访问权限的方法及装置 | |
US9641334B2 (en) | Method and apparatus for ascertaining data access permission of groups of users to groups of data elements | |
CN103902632B (zh) | 键值存储系统中构建文件系统的方法、装置及电子设备 | |
EP1394706B1 (en) | Network-based information management | |
CN101674334A (zh) | 一种网络存储设备的访问控制方法 | |
CN108388604A (zh) | 用户权限数据管理装置、方法及计算机可读存储介质 | |
US8433730B2 (en) | Dynamic data access and storage | |
US20040243511A1 (en) | Method and apparatus to create and execute time-bound constraints | |
CN111639121A (zh) | 一种构建客户画像的大数据平台及构建方法 | |
US8688755B2 (en) | Document management system for buildings | |
CN106778310A (zh) | 一种数据管理方法和系统 | |
Weippl et al. | Content-based Management of Document Access Control. | |
CN110019017A (zh) | 一种基于访问特征的高能物理文件存储方法 | |
Han et al. | Access trends of in-network cache for scientific data | |
RU2679207C1 (ru) | Управление системой баз данных | |
Chung et al. | Discovery of multi-level security policies | |
CN105631047A (zh) | 一种分层级联的数据处理方法及系统 | |
CN110325977A (zh) | 电子数据库及其生成方法 | |
Kvet et al. | Performance study of the index structures in audited environment | |
Kieseberg et al. | Structural limitations of B+-tree forensics | |
JP6824303B2 (ja) | データ参照権限管理装置、データ参照権限管理方法およびデータ参照権限管理プログラム | |
CN106547832A (zh) | 一种信息编译方法及装置 | |
Phani | Data collection and evaluation framework for local energy systems | |
Lu et al. | A New Collaborative Scheduling Mechanism Based on Grading Mapping for Resource Balance in Distributed Object Cloud Storage System | |
CN106445892A (zh) | 一种文档汇编方法以及系统 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
C14 | Grant of patent or utility model | ||
GR01 | Patent grant |