CN103378987A - 用于对多个安全域进行策略管理的方法和系统 - Google Patents
用于对多个安全域进行策略管理的方法和系统 Download PDFInfo
- Publication number
- CN103378987A CN103378987A CN201310127287XA CN201310127287A CN103378987A CN 103378987 A CN103378987 A CN 103378987A CN 201310127287X A CN201310127287X A CN 201310127287XA CN 201310127287 A CN201310127287 A CN 201310127287A CN 103378987 A CN103378987 A CN 103378987A
- Authority
- CN
- China
- Prior art keywords
- policy
- decision
- assembly
- point assembly
- access
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/08—Configuration management of networks or network elements
- H04L41/0893—Assignment of logical groups to network elements
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/08—Configuration management of networks or network elements
- H04L41/0894—Policy-based network configuration management
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Storage Device Security (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
本发明的实施方式涉及用于对多个安全域进行策略管理的方法和系统,具体地,提供了根据示例性实施方式的在数据处理系统中对多个安全域进行集中式策略管理的机制。数据处理系统中的策略执行点组件接收访问请求。策略执行点组件由多个安全域管理。策略执行点组件查询数据处理系统中的策略代理组件。策略代理组件确定遵守多个安全域的策略的访问决策。由此,构成包括策略决策、管理和那些域的信息组件的工作流。策略代理组件向策略执行点组件返回访问决策。
Description
技术领域
本申请总体上涉及改进的数据处理装置和方法,并且更具体地涉及用于多安全域的策略管理的机制。
背景技术
网络安全策略是计算机网络访问的规则集合。策略确定规则如何实施、以及设置网络安全环境的一些基本架构。安全策略可能是非常复杂的,并且可以管理数据访问、web浏览习惯、密码和加密的使用、电子邮件附件等。策略针对域(诸如计算机、计算机网络、社交网络等)内的个体或者个体的群组来制定这些规则。
安全策略应当阻止恶意用户进入,并且还对域内的潜在危险用户加以控制。安全策略应当考虑什么信息和服务(对哪些用户)是可用的,有什么损坏的可能性,以及是否已经启用任何保护用于防止误用。策略可以表示为可以由软件或者专用于保护网络的专用硬件理解的指令集合。
在包括移动性、动态上下文改变和多个域的融合的场景中,已经被用于保护单个域和企业的传统的集中式策略管理架构将无法工作。在移动设备可能同时属于多个域,并且资源可能受到不止一个域的策略约束时,系统设计者必须确保在必须进行访问控制决策时应用正确的策略。
发明内容
在一个示例性实施方式中,提供了根据示例性实施方式的在数据处理系统中用于对多个安全域进行集中式策略管理的方法。该方法包括:在数据处理系统中的策略执行点组件处接收访问请求。策略执行点组件由多个安全域管理。该方法还包括:由策略执行点组件查询数据处理系统中的策略代理组件。该方法还包括:由策略代理组件确定遵守多个安全域的策略的访问决策。该方法还包括:由策略代理组件向策略执行点组件返回访问决策。
在其他示例性实施方式中,提供了计算机程序产品,该计算机程序产品包括具有计算机可读程序的计算机可用或者可读介质。当在计算设备上执行时,该计算机可读程序,使得该计算设备执行与方法的示例性实施方式相关的以上简述的操作中的任何多个及其组合。
在又一示例性实施方式中,提供了一种系统/装置。该系统/装置可以包括一个或多个处理器以及耦接至该一个或多个处理器的存储器。存储器可以包括指令,当由一个或多个处理器执行时,该指令使得该一个或多个处理器执行与方法的示例性实施方式相关的以上简述的操作中的任何多个及其组合。
本发明的这些以及其他特征和优点将在本发明的示例实施方式的以下详细描述中进行描述,或者基于其而对本领域技术人员变得易见。
附图说明
在结合附图阅读时,参考示例性实施方式的以下详细描述,将更好地理解本发明及其使用的优选模式和其他目标和优点,其中:
图1绘出了可以实现示例性实施方式的方面的示例分布式数据处理系统的图形表示;
图2是可以实现示例性实施方式的方面的示例数据处理系统的框图;
图3示出了可以实现示例性实施方式的方面的用于单个域策略管理的集中式策略管理架构;
图4示出了可以实现示例性实施方式的方面的多域架构;
图5示出了根据示例性实施方式的具有多策略决策点的多域架构;
图6示出了根据示例性实施方式的具有单个策略决策点的多域架构;以及
图7是示出根据示例性实施方式的用于多个安全域的集中式策略管理的机制的操作的流程图。
具体实施方式
示例性实施方式提供了用于多个安全域的策略管理的机制。在移动和普适(ubiquitous)场景中,多个安全域可能重叠。目前越来越多种类的应用涉及移动设备(主要是智能手机)不仅允许它们的用户彼此通信,还提供在线交易服务。移动设备主要还被用作进入用户的社交网络的入口。Ad hoc交互和瞬态关联是规范。跨安全域的边界的资源访问已司空见惯。对于移动设备,上下文频繁改变;从而,与传统的静态计算世界相比,在这样的移动/普适的计算世界中,设计应用同时维护安全和私密性面临巨大挑战。维护安全和策略约束以及控制对资源的访问的最灵活和可扩展的方式是通过配置和管理策略来进行的。示例性实施方式提供了策略管理架构,该架构可以处理多个重叠的安全域和包括移动性的场景。
在静态或者企业计算场景中,定义了安全域,并且将管理集中化。域边界的改变通常包括手动动作和验证。对于其中可以维护控制的刚性链的不变的域,基于策略的管理提供针对外部实体对资源的非授权访问的所需的保护级别。这些框架对改变的内部上下文以及成员是敏感的,但是不关注外部上下文。标准策略管理架构包括四个类别的模块:
策略管理点(PAP)——该模块用于使得域管理员能够配置和更新策略规则。(每个域一个)
策略决策点(PDP)——该模块从PAP接收相关策略规则,并且基于请求而返回与对被保护的资源的访问相关的决策。(每个域一个或多个)
策略执行点(PEP)——该模块保护敏感资源,从第三方接收访问请求,并且基于PDP的决策而允许或者拒绝此类访问。(每个域一个或多个)
策略信息点(PIP)——其存储相关的上下文信息,通常按照轻量目录访问协议(LDAP)目录来存储,在其决策制定过程中,该目录可以被PDP查询。(每个域零个或多个)
为了处理对多个交互域的策略管理,以上架构还可以包括可选的策略协商点(PNP)模块。不像以上描述的其他模块那样,PNP的角色和功能不是标准化的,并且PNP可以适配为适应给定的应用场景。PNP具有对于以上描述的类型的移动和普适的计算场景的直接应用。在这种场景中管理信任和私密性并且支持对资源的分布式访问需要动态协商的机制。已经进行了一些工作来将PNP并入到架构中,作为两个域之间的协商协议的推进者。协商的属性随着应用场景而变化,是解决域的策略的有希望的方式,以保证资源以适当的方式被访问。
以上描述的集中式策略管理架构无法支持其中安全域重叠的的动态、移动计算场景。必须对该架构进行扩展或者修改,来保证ad hoc交互中的安全和私密性。这是因为移动计算场景在以下方面与静态计算场景不同:
1.域之间的边界不像企业场景中那样清晰。
2.一个域的成员在所有上下文中可能不是独有的成员。移动设备可以同时属于多个域;例如,电信运营商的域和社交网络。
3.保护敏感资源的访问策略可能不完全受到单个域的管理。在一个域与其他域重叠的情形下,访问决策必须遵守两个域的策略。
传统策略管理架构中没有提供或者推荐如何处理多个重叠的域,以及动态地加入和断开两个独立的策略管理范围的关联。可以手动地代理这样的布置,但是这不是理想的解决方案。
当两个域没有共同之处并且没有相互信任时,协商是可行的。松散耦接的协议允许参与域根据需要保持其资源和策略私密。而且,通常在一系列步骤中执行协商;取决于场景,步骤的数目可能是任意大的。另外,两个域之间的协商无法以直接的方式扩展为在更多数目的域之间的协商。
多域交互问题没有以整体方式考虑,从而阻止了找到示例性实施方式中提供的种类的架构解决方案的工作。通常假设:域不重叠,并且必须总是独立行动,从而使得交互协议的属性需要针对个体场景而进行定制。以下描述的示例性实施方式的机制涉及的单个决策制定步骤,但是该过程可能由于额外信息以及必须处理的策略规则而采取更长的步骤。示例性实施方式的机制在概念上还可以伸缩为任意大的域集合。
示例性实施方式将用于单个安全域的策略管理架构进行扩展,以用于管理具有瞬态关联的多个重叠域。架构上的改变可以与现有的策略管理设计和实现完全兼容。对于单个域,示例性实施方式的模型与传统架构幂等。
示例性实施方式提供了用于多个重叠安全域的策略管理架构,该架构使用将单个域作为构造块来管理的标准的集中式策略管理架构。示例性实施方式的架构允许通过单个共享的网关来访问多个域保护的资源,在该网关中执行重叠域托管的策略。策略管理模块动态地选择和促进访问控制决策工作流,该工作流保证遵守重叠域的策略。个体策略管理单元的配置确定该工作流。示例性实施方式提供了这样的机制,如果执行点(或者资源访问点)处没有个体的决策制定模块,则该机制用于从多个域收集基于策略的访问决策,并且运行一致或者调解(reconciliation)算法来确定最终访问决策。如果在执行点(或者资源访问点)处已经存在这样的决策制定模块,则示例性实施方式提供了决策制定模块的动态配置,以便从多个重叠的域获得策略、上下文和标识信息。
根据示例性实施方式,移动设备用户从部分运行在其他设备上的大类别的交互应用受益并且获得价值。这些应用允许他们在网络上与其他用户交互,并且与类似于在线商店的第三方执行交易。移动用户可以维护与类似于电信运营商的静态域以及类似于社交网络的扩散域二者多种联系,并且满足他们对安全和私密性的关注,而不需要在他们的设备上采取额外的将涉及技术知识的安全措施。移动用户偏好可以由各自的域作为策略规则来配置和维护。
根据示例性实施方式,域管理员仅需要配置他们个人的策略管理组件,并且通过他们现有的接口管理策略规则。个体域可以保持彼此独立,而无关于是否参与协作场景。在多个域重叠的情况下,多个域之间的ad hoc手动布置是没有必要的。可以设计范围广泛的移动计算应用,而不需要策划用于每个应用的特定策略管理解决方案。示例性实施方式的架构可以用作移动计算应用的模板。
根据示例性实施方式,可以重用现有的策略管理工具,并且可以将其扩展为支持多域策略管理。将仍然应用传统的软件和配置过程,并且可以创建和配置附加的组件。附加的策略代理组件实现并且可选地配置为处理多域场景。
示例性实施方式可以在多种不同类型的数据处理环境中使用。为了提供示例性实施方式的特定元件和功能的描述的上下文,下文提供了图1和图2作为可以实现示例性实施方式的方面的示例环境。应当理解,图1和图2仅是示例,并且并不旨在断言或者暗示对可以实现本发明的方面或者实施方式的环境的任何限制。可以在不脱离本发明的精神和范围的情况下对所绘出的环境做出多种修改。
图1绘出了可以实现示例性实施方式的方面的示例分布式数据处理系统的图形表示。分布式数据处理系统100可以包括可以实现示例性实施方式的方面的计算机的网络。分布式数据处理系统100包含至少一个网络102,该至少一个网络102是用于在分布式数据处理系统100内连接在一起的各种设备以及计算机之间提供通信链路的介质。网络102可以包括连接,诸如有线、无线通信链路或者光缆。
在所绘出的示例中,服务器104和服务器106连接到网络102连同存储单元108。此外,客户端110、112和114也连接到网络102。这些客户端110、112和114例如可以是个人计算机、网络计算机等。在所绘出的示例中,服务器104向客户端110、112和114提供数据,诸如启动文件、操作系统映像和应用。在所绘出的示例中,客户端110、112和114是服务器104的客户端。分布式数据处理系统100可以包括未示出的附加服务器、客户端和其他设备。
在所绘出的示例中,分布式数据处理系统100是互联网,该互联网具有网络102(表示网络的世界范围收集)和网关,该网关使用传输控制协议/互联网协议(TCP/IP)协议组来彼此通信。在互联网的中心处是主要节点或者主机之间的高速数据通信线的骨干,包括路由数据和消息的数千个商业、政府、教育和其他计算机系统。当然,分布式数据处理系统100还可以实现为包括多个不同类型的网络,诸如内联网、局域网(LAN)、广域网(WAN)等。如上所述,图1作为示例,而不是作为本发明的不同实施方式的架构限制,并且因此,图1中所示的特定元件不应当视为限制可以实现本发明的示例性实施方式的环境。
图2是可以实现示例性实施方式的方面的示例数据处理系统的框图。数据处理系统200是计算机(诸如图1中的客户端110)的示例,其中,可以具有实现本发明的示例性实施方式的过程的计算机可用代码或者指令。
在所绘出的示例中,数据处理系统200采用集线器架构,该集线器架构包括北桥和存储器控制器集线器(NB/MCH)202和南桥和输入/输出(I/O)控制器集线器(SB/ICH)204。处理单元206、主存储器208和图形处理器210连接至NB/MCH 202。图形处理器210可以通过加速图形端口(AGP)连接至NB/MCH 202。
在绘出的示例中,局域网(LAN)适配器212连接至SB/ICH 204。音频适配器216、键盘和鼠标适配器220、调制解调器222、只读存储器(ROM)224、硬盘驱动器(HDD)226、CD-ROM驱动器230、通用串行总线(USB)端口和其他通信端口232以及PCI/PCIe设备234通过总线238和总线240连接至SB/ICH 204。PCI/PCIe设备例如可以包括以太网适配器、插入卡和用于笔记本计算机的PC卡。PCI使用卡总线控制器,但是PCIe不使用。ROM 224例如可以是闪速基本输入/输出系统(BIOS)。
HDD 226和CD-ROM驱动器230通过总线240连接至SB/ICH204。HDD 226和CD-ROM驱动器230例如可以使用集成驱动电子设备(IDE)或者串行高级技术附件(SATA)接口。超级I/O(SIO)设备236可以连接至SB/ICH 204。
操作系统在处理单元206上运行。操作系统协调和提供图2中的数据处理系统200内的各种组件的控制。作为客户端,操作系统可以是销售的操作系统,诸如Microsoft Windows 7(Microsoft和Windows是在美国、其他国家或者二者的微软公司的商标)。面向对象的编程系统(诸如Java编程系统)可以与操作系统相结合地运行,并且从Java程序或者数据处理系统200上运行的应用向操作系统提供调用(Java是甲骨文和/或其子公司的商标)。
作为服务器,数据处理系统200例如可以是IBM
eServerTMSystem p计算机系统,运行高级交互执行(AIX)操作系统或者LINUX操作系统(IBM、eServer、System p和AIX是在美国、其他国家或者二者的国际商用机器公司的商标,并且LINUX是在美国、其他国家或者二者的Linus Torvalds的注册商标)。数据处理系统200可以是对称多处理器(SMP)系统,该系统在处理单元206中包括多个处理器。备选地,可以采用单处理器系统。
用于操作系统、面向对象的编程系统和应用的指令或者程序位于存储设备(诸如HDD 226)上,并且可以加载到主存储器208中,以便由处理单元206执行。本发明的示例性实施方式的过程可以由使用计算机可用程序代码的处理单元206执行,该计算机可用程序代码位于存储器(诸如,主存储器208、ROM 224)中,或者位于一个或多个外围设备226和230中。
总线系统(诸如图2中所示的总线238或者总线240)可以包括一个或多个总线。当然,总线系统可以使用任何类型的通信结构或者架构来实现,这样的通信结构或者架构提供附接到结构或者架构的不同的组件或者设备之间的数据传送。通信单元(诸如图2的调制解调器222或者网络适配器212)可以包括用于传输和接收数据的一个或多个设备。存储器例如可以是图2中的主存储器208、ROM224,或者诸如NB/MCH 202中的高速缓存。
本领域普通技术人员可以理解,图1和图2中的硬件可以根据实现而改变。除了或者代替图1和图2绘出的硬盘,还可以使用其他内部硬件或者外围设备(诸如闪速存储器、等效非易失性存储器或者光盘驱动器等)。而且,在不脱离本发明的精神和范围的情况下,示例性实施方式的过程可以应用于先前提到的SMP系统以外的多处理器数据处理系统。
另外,数据处理系统200可以采用多种不同的数据处理系统中的任何一种的形式,包括客户端计算设备、服务器计算设备、平板计算机、膝上型计算机、电话或者其他通信设备、个人数字助理(PDA)等。在一些示例性示例中,数据处理系统200可以是配置有闪速存储器的便携式计算设备,以提供非易失性存储器,以用于存储例如操作系统文件和/或用户生成的数据。实际上,数据处理系统200可以是没有架构限制的任何已知或者以后开发的数据处理系统。
图3示出了可以实现示例性实施方式的方面的用于单个域策略管理的集中式策略管理架构。在静态或者企业计算场景中,安全域300的管理涉及策略数据库301,该策略数据库301存储用于管理对安全域300中的资源的访问的规则。策略管理点(PAP)组件310使得域管理员能够配置和更新策略数据库301中的策略规则。策略决策点(PDP)组件320从PAP组件310接收相关策略规则,并且响应于请求而返回与对被保护的资源的访问相关的决策。策略执行点(PEP)组件341、342、343保护敏感资源,从第三方(客户端)接收访问请求,并且基于PDP组件320的决策而允许或者拒绝访问。策略信息点(PIP)组件331、332存储相关上下文信息,相关上下文信息可以由PDP组件320在其决策制定过程期间查询。PIP组件331、332可以将上下文信息存储在轻量目录访问协议(LDAP)目录中。
在移动和普适存在的计算场景中,多个域可能重叠。根据示例性实施方式,每个个体域使用图3中所示的架构的变体来管理其策略。不使用策略管理架构的任何实体或者域可以作为黑盒来处理,可以从其接收访问请求,并且可以向其发送访问决策。使用该模型,多个域交叉或者共享一个或多个策略执行点。
图4示出了可以实现示例性实施方式的方面的多域架构。PAP组件410使得域管理员能够配置和更新用于安全域400的策略数据库400中的策略规则。PDP组件420从PAP组件410接收相关策略规则,并且响应于请求而返回关于访问被保护的资源的决策。PEP组件441、442保护敏感资源,从第三方(客户端)接收访问请求,并且基于来自PDP组件420的决策而允许或者拒绝访问。PIP组件431存储用于安全域400的相关上下文信息,相关上下文信息可以由PDP组件420在其决策制定过程期间查询。
类似地,PAP组件460支持域管理员来配置和更新用于安全域450的策略数据库451中的策略规则。PDP组件470从PAP组件460接收相关策略规则,并且响应于请求而返回与对被保护的资源的访问相关的决策。PEP组件491、492保护敏感资源,从第三方(客户端)接收访问请求,并且基于来自PDP组件470的决策而允许或者拒绝访问。PIP组件481存储用于安全域450的相关上下文信息,相关上下文信息可以由PDP组件470在其决策制定过程期间查询。
安全域400和安全域450重叠,使得由两个安全域管理共享PEP组件475。示例性实施方式保证了由共享PEP组件475管制的资源必须受制于所有交叉的域的策略,并且必须使用所有域共同知晓的信息。根据示例性实施方式,每个策略模块的固有属性和功能不应减少,也即,如果需要,PEP组件和PDP组件必须以传统方式运作。示例性实施方式的架构是向后兼容的,并且如果图1中的场景包括单个域,则与图1中所示的架构幂等(idempotent)。
在此处描述的实施方式中,架构绘出了两个域的系统,以描述本发明和示例。对于任何n域系统(其中n>2),可以按照直接方式扩展这些思路。
如图4所示,共享PEP组件475在其可以做出适当的执行决策之前,必须咨询两个PDP组件,在第一场景中,PDP组件420和PDP组件470配置在不同的物理机器上,它们都不主控PEP组件475。在这种情况下,必须独立地咨询PDP组件420和PDP组件470。这允许两个域都保持其策略和决策过程是私密的。
在另一场景中,至少一个PDP组件420、470配置在主控PEP组件475的相同物理机器上。由于PEP组件475是在域之间共享的,所以机器对两个域的策略是不公开的。从而,可以选择与PEP组件475共置的PDP组件420、470中的一个,来做出用于两个域的决策,从而代替两个PDP组件做出独立的决策,由两个PDP组件做出独立的决策随后必须进行调解。这一机制不会违反域的私密性约束。
PDP组件420、470的功能保持不变。确定操作模式和做出最终执行决策需要PEP组件475一方的更多工作。为了避免改变PEP组件的核心性质,示例性实施方式提供策略代理(PB)组件。运行PEP组件的每个机器可以可选地具有配置为在机器上运行的PB组件。
策略代理确定给定配置落入什么类别,也即,是必须保持和咨询多个PDP组件,还是可以选择单个PDP组件。用于确定配置的机制易于实现,因为PDP-PEP和PB-PEP关联在域内是公知的。
图5示出了根据示例性实施方式的具有多策略决策点的多域架构。在绘出的示例中,PEP组件475制定访问控制查询,并且向策略代理(PB)组件510发送该查询。PB组件510向安全域400中的PDP组件420和安全域450中的PDP组件470发送查询。每个PDP组件420、470做出决策,并且应答PB组件510。PB组件510继而对所收集决策的集合运行调解算法,以生成最终决策。PB组件510继而将最终决策中继到PEP组件475。
图5中所示的架构对于调解算法的性质是不可知的,并且该算法在本公开的范围之外。在一个示例实施方式中,PB组件510可以配置用于默认运行简单的布尔AND功能(即所做出的决策的结合)来获得最终决策。在备选实施方式中,PB组件510可以配置用于确定基于多数的决策。
图6示出了根据示例性实施方式的具有单个策略决策点的多域架构。在绘出的示例中,PDP组件420与PEP组件475和PB组件610共置在相同的机器上。PEP组件475制定访问控制查询,并且向PB组件610发送该查询。PB组件610选择运行在相同机器上的一个PDP组件,在这种情况下,选择PDP组件420,作为用于域400、域450二者的共同PDP组件。PDP组件420继而向域400的PAP 410和域450的PAP 460注册。域400中的PIP组件431和域450中的PIP组件481向PDP组件420注册。
PB组件610将PEP组件475的查询中继到PDP组件420。PDP组件420做出决策,并且应答PB组件610。PB组件610向PEP组件475返回响应。PB组件610在单个策略决策点场景中作用很小。如果进行了配置,则PB组件610与PEP组件相关联,并且容易地充当请求/响应中继。
使用图6的架构作为模板实现的系统,其将有权限访问其由适当的策略控制的资源,即,所有交叉域的共同策略。作为一种实践方式,多个策略决策点模式可以比单个策略决策点模式更具可扩展性,但是应当由个体系统设计者进行选择。
作为多个安全域重叠的实际生活场景的一个示例,考虑用户携带向电信运营商订制的移动设备的情形。电信用户的集合由运营商以集中式方式进行划界和管理,并且由此,取得安全域的资格。用户还维护社交网络,并且与其他社交网络用户具有联系。社交网络保护用户标识和好友关系,并且由此取得安全域的资格。
断开连接的移动设备只属于它自己的域。连接的移动设备属于电信域,并且受制于该域的策略。登录到社交网络的连接的移动设备是两个域的成员,并且受制于两个域的策略。应当注意,某些规则可以是用户偏好的表示。移动设备本身存储第三方可能希望访问的私密信息,或者设备可以运行仅由授权实体可用的服务。因此,用户的移动设备是用于运行策略执行点(PEP)组件的非常适当的位置。
可以通过简单的示例示出通过多域策略管理框架调解的分布式资源访问。移动设备用户步行到储存了出售服装的部门中。设备装备了用于实现在线交易的机制,并且随后与供货商的服务器产生一个这样的交易。在用户购买之后,供货商的服务器发送电子票券,如果供货商被允许向用户的社交网络联系人发送广告,则该电子票券将被激活。在该上下文中,访问请求将构造如下:
是否允许向<用户>的所有社交网络好友的移动设备发送SMS/USSD<消息>?
为了到达用户的好友的移动设备,管理对好友的名字和标识(包括移动号码)的访问的社交网络策略以及管理传送给用户的移动号码的消息的电信策略必须一致。管理信息发布的社交网络策略规则可能既涉及用户展示他/她的好友列表的意愿,又涉及好友展示他/她的私密信息的意愿。例如,<用户>将可能提供许可以交换供货商折扣的承诺。允许消息中继的电信策略可能涉及某些形式的支付和上下文信息。例如,第二用户、电信用户和<用户>的社交网络好友不会在一周中的任一天的下午12点到下午3点之间接收SMS或者USSD消息。
使用示例性实施方式的架构,用户的设备运行PEP组件和PB组件。无论何时设备登录到社交网络,PB组件都会发现社交网络和电信的PDP组件。根据哪种模式可应用以及其如何配置,选择一个或多个PDP组件充当决策点。假设PDP组件位于设备上(可能是社交网络PDP的情况),可以选择PDP组件,并且将其向电信的PAP组件注册。同时,电信的PIP组件也向PDP组件注册,以便提供额外的上下文信息。继而向PDP组件发送访问决策请求,该PDP组件现在可以使用两个域的策略信息来做出允许发送消息的决策。PEP组件适当地允许或者拒绝供货商的请求。如果用户的移动设备退出社交网络,则由PB组件终止跨域的PAP和PIP注册。
所属技术领域的技术人员知道,本发明的方面可以实现为系统、方法或计算机程序产品。因此,本公开的方面可以具体实现为以下形式,即:可以是完全的硬件、也可以是完全的软件(包括固件、驻留软件、微代码等),还可以是硬件和软件结合的形式,本文一般称为“电路”、“模块”或“系统”。此外,在一些实施方式中,本发明的方面还可以实现为在一个或多个计算机可读介质中的计算机程序产品的形式,该计算机可读介质中包含计算机可读的程序代码。
可以采用一个或多个计算机可读的介质的任意组合。计算机可读介质可以是计算机可读信号介质或者计算机可读存储介质。计算机可读存储介质例如可以是——但不限于——电、磁、光、电磁、红外线、或半导体的系统、装置或器件,或者任意以上的组合。计算机可读存储介质的更具体的例子(非穷举的列表)包括:具有一个或多个导线的电连接、便携式计算机磁盘、硬盘、随机存取存储器(RAM)、只读存储器(ROM)、可擦式可编程只读存储器(EPROM或闪存)、光纤、便携式紧凑磁盘只读存储器(CD-ROM)、光存储器件、磁存储器件、或者上述的任意合适的组合。在本文件的上下文中,计算机可读存储介质可以是任何包含或存储程序的有形介质,该程序可以被指令执行系统、装置或者器件使用或者与其结合使用。
计算机可读的信号介质可以包括在基带中或者作为载波一部分传播的数据信号,其中承载了计算机可读的程序代码。这种传播的数据信号可以采用多种形式,包括——但不限于——电磁信号、光信号或上述的任意合适的组合。计算机可读的信号介质还可以是计算机可读存储介质以外的任何计算机可读介质,该计算机可读介质可以发送、传播或者传输用于由指令执行系统、装置或者器件使用或者与其结合使用的程序。
计算机可读介质上包含的程序代码可以用任何适当的介质传输,包括——但不限于——无线、电线、光缆、RF等等,或者上述的任意合适的组合。
可以以一种或多种程序设计语言或其组合来编写用于执行本发明操作的计算机程序代码,所述程序设计语言包括面向对象的程序设计语言—诸如Java、Smalltalk、C++,还包括常规的过程式程序设计语言—诸如“C”语言或类似的程序设计语言。程序代码可以完全地在用户计算机上执行、部分地在用户计算机上执行、作为一个独立的软件包执行、部分在用户计算机上部分在远程计算机上执行、或者完全在远程计算机或服务器上执行。在涉及远程计算机的情形中,远程计算机可以通过任意种类的网络——包括局域网(LAN)或广域网(WAN)—连接到用户计算机,或者,可以连接到外部计算机(例如利用因特网服务提供商来通过因特网连接)。
下面将参照本发明示例性实施方式的方法、装置(系统)和计算机程序产品的流程图和/或框图描述本发明。应当理解,流程图和/或框图的每个方框以及流程图和/或框图中各方框的组合,都可以由计算机程序指令实现。这些计算机程序指令可以提供给通用计算机、专用计算机或其它可编程数据处理装置的处理器,从而生产出一种机器,这些计算机程序指令通过计算机或其它可编程数据处理装置执行,产生了实现流程图和/或框图中的方框中规定的功能/操作的装置。
也可以把这些计算机程序指令存储在能使得计算机或其它可编程数据处理装置以特定方式工作的计算机可读介质中,这样,存储在计算机可读介质中的指令就产生出一个包括实现流程图和/或框图中的方框中规定的功能/操作的指令装置(instruction means)的制造品(manufacture)。
也可以把计算机程序指令加载到计算机、其它可编程数据处理装置、或其它设备上,使得在计算机、其它可编程数据处理装置或其它设备上执行一系列操作步骤,以产生计算机实现的过程,从而使得在计算机或其它可编程装置上执行的指令能够提供实现流程图和/或框图中的方框中规定的功能/操作的过程。
图7是示出根据示例性实施方式的用于多个安全域的集中式策略管理的机制的操作的流程图。操作开始于框700,并且策略执行点(PEP)接收访问请求(框701)。PEP将请求转换为策略查询(框702)。PEP向策略代理(PB)查询访问决策(框703)。
PB确定策略决策点(PDP)是否与PEP共置在相同的物理设备上(框704)。如果框704中PDP与PEP共置,则PB选择位于相同物理设备上的PDP作为PEP(框705)。所选择的PDP向共享PEP的每个其他域的策略管理点(PAP)注册(框706)。共享PEP的每个其他域的策略信息点(PIP)向所选择的PDP注册(框707)。PB向所选择的PDP发送查询(框708)。所选择的PDP做出访问决策(框709),并且向PB发送该决策(框710)。之后,PB向PEP返回该决策(框711),并且操作在框712结束。
在框704中,如果PDP不是与PEP共置在相同的物理设备上,则PB向共享PEP的每个域的PDP发送查询(框713)。PDP做出独立的访问决策(框714),并且向PB返回其决策(框715)。PB运行调解算法,以生成经调解的访问决策(框716)。之后,PB向PEP返回该决策(框711),并且操作在框712结束。
附图中的流程图和框图显示了根据本发明的多个实施方式的系统、方法和计算机程序产品的可能实现的体系架构、功能和操作。在这点上,流程图或框图中的每个方框可以代表一个模块、程序段或代码的一部分,所述模块、程序段或代码的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。也应当注意,在有些作为替换的实现中,方框中所标注的功能也可以以不同于附图中所标注的顺序发生。例如,两个连续的方框实际上可以基本并行地执行,它们有时也可以按相反的顺序执行,这依所涉及的功能而定。也要注意的是,框图和/或流程图中的每个方框、以及框图和/或流程图中的方框的组合,可以用执行规定的功能或操作的专用的基于硬件的系统来实现,或者可以用专用硬件与计算机指令的组合来实现。
由此,示例性实施方式提供了用于多个安全域的策略管理的机制。示例性实施方式扩展了用于单个安全域的策略管理架构,以管理具有瞬态关联的多个重叠域。架构上的改变可以完全与现有的策略管理设计和实现兼容。对于单个域,示例性实施方式的模型与传统架构幂等。示例性实施方式提供了这样的机制,如果执行点(或者资源访问点)处没有个体的决策制定模块,则该机制用于从多个域收集基于策略的访问决策,并且运行一致或者调解算法来确定最终访问决策。如果在执行点(或者资源访问点)处已经存在这样的决策制定模块,则示例性实施方式提供了决策制定模块的动态配置,以便从多个重叠的域获得策略、上下文和标识信息。
如上所述,应当理解,示例性实施方式可以采用整体硬件实施方式、整体软件实施方式或者包含硬件和软件元素二者的实施方式的形式。在一个示例实施方式中,示例性实施方式的机制实现为软件或者程序代码,软件或者程序代码包括但不限于固件、驻留软件、微代码等。
适于存储和/或执行程序代码的数据处理系统将包括至少一个处理器,该处理器直接或者通过系统总线间接地耦接至存储器元件。存储器元件可以包括在程序代码的实际执行期间采用的局部存储器、大容量存储,以及提供至少某些程序代码的临时存储以便减少在执行期间必须从大容量存储获取代码的次数的高速缓存存储器。
输入/输出或者I/O设备(包括但不限于键盘、显示器、定点设备等)可以直接或者通过居间的I/O控制器耦接至系统。网络适配器也可以耦接至系统,以使得数据处理系统能够通过居间的专用网络或者公共网络耦接至其他数据处理系统或者远程打印机或者存储设备。调制解调器、电缆调制解调器和以太网卡仅是目前可用的几种网络适配器类型。
已经出于示例性和描述的目的呈现了本发明的描述,并且本发明的描述并不旨在穷举性的或者限于所公开形式的发明。多种修改和变形将对本领域普通技术人员变得易见。选择和描述了实施方式,以便更好地解释本发明的原理、实际应用,并且使得本领域普通技术人员能够将本发明理解为具有各种修改的各种实施方式适于预期的特定使用。
Claims (17)
1.一种在数据处理系统中用于对多个安全域进行集中式策略管理的方法,所述方法包括:
在所述数据处理系统的策略执行点组件处接收访问请求,其中,所述策略执行点组件由多个安全域来管理;
由所述策略执行点组件查询所述数据处理系统中的策略代理组件;
由所述策略代理组件确定遵守所述多个安全域的策略的访问决策;以及
由所述策略代理组件向所述策略执行点组件返回所述访问决策。
2.根据权利要求1所述的方法,其中,确定访问决策包括:
由所述策略代理组件确定策略决策点组件是否共置在所述数据处理系统上;
响应于确定策略决策点组件共置在所述数据处理系统上,从所述策略决策点组件接收访问决策;以及
响应于确定策略决策点组件不是共置在所述数据处理系统上,确定经调解的访问决策。
3.根据权利要求2所述的方法,其中,确定访问决策还包括:
响应于确定策略决策点组件共置在所述数据处理系统上,选择所述策略决策点组件,其中,所选择的策略决策点组件做出所述访问决策。
4.根据权利要求3所述的方法,其中,所选择的策略决策点组件向所述多个安全域内的每个其他安全域的策略管理点组件注册。
5.根据权利要求4所述的方法,其中,所述多个安全域内的所有其他安全域的所述策略信息点组件向所选择的策略决策点组件注册。
6.根据权利要求2所述的方法,其中,确定访问决策还包括:
响应于确定策略决策点组件不是共置在所述数据处理系统上,向所述多个安全域的策略决策点组件发送查询;
从所述多个安全域的所述策略决策点组件接收独立的访问决策;以及
基于所述独立的访问决策来确定经调解的访问决策。
7.根据权利要求6所述的方法,其中,确定所述经调解的访问决策包括:
对所述独立的访问决策运行调解算法,以形成所述经调解的访问决策。
8.根据权利要求7所述的方法,其中,所述调解算法是一致性算法或者多数一致算法。
9.一种在数据处理系统中用于对多个安全域进行集中式策略管理的系统,包括:
用于在计算设备的策略执行点组件处接收访问请求的装置,其中,所述策略执行点组件由多个安全域来管理;
用于由所述策略执行点组件查询所述数据处理系统中的策略代理组件的装置;
用于由所述策略代理组件确定遵守所述多个安全域的策略的访问决策的装置;以及
用于由所述策略代理组件向所述策略执行点组件返回所述访问决策的装置。
10.根据权利要求9所述的系统,其中,所述用于确定访问决策的装置包括:
用于由所述策略代理组件确定策略决策点组件是否共置在所述计算设备上的装置;
用于响应于确定策略决策点组件共置在所述计算设备上,从所述策略决策点组件接收访问决策的装置;以及
用于响应于确定策略决策点组件不是共置在所述计算设备上,确定经调解的访问决策的装置。
11.根据权利要求10所述的系统,其中,所述用于确定访问决策的装置还包括:
用于响应于确定策略决策点组件共置在所述计算设备上,选择所述策略决策点组件的装置,其中,所选择的策略决策点组件做出所述访问决策。
12.根据权利要求11所述的系统,其中,所选择的策略决策点组件向所述多个安全域内的每个其他安全域的策略管理点组件注册。
13.根据权利要求12所述的系统,其中,所述多个安全域内的所有其他安全域的所述策略信息点组件向所选择的策略决策点组件注册。
14.根据权利要求10所述的系统,其中,所述用于确定访问决策的装置还包括:
用于响应于确定策略决策点组件不是共置在所述计算设备上,向所述多个安全域的策略决策点组件发送查询的装置;
用于从所述多个安全域的所述策略决策点组件接收独立的访问决策的装置;以及
用于基于所述独立的访问决策来确定经调解的访问决策的装置。
15.根据权利要求14所述的系统,其中,所述用于确定经调解的访问决策的装置包括:
用于对所述独立的访问决策运行调解算法以形成所述经调解的访问决策的装置。
16.根据权利要求15所述的系统,其中,所述调解算法是一致性算法或者多数一致算法。
17.一种数据处理系统,包括:
处理器;以及
耦接至所述处理器的存储器,其中,所述存储器包括指令,当由所述处理器执行所述指令时,使得所述处理器:
在所述数据处理系统中的策略执行点组件处接收访问请求,其中,所述策略执行点组件由多个安全域管理;
由所述策略执行点组件查询所述数据处理系统中的策略代理组件;
由所述策略代理组件确定遵守所述多个安全域的策略的访问决策;以及
由所述策略代理组件向所述策略执行点组件返回所述访问决策。
Applications Claiming Priority (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US13/454,552 | 2012-04-24 | ||
| US13/454,552 US9054971B2 (en) | 2012-04-24 | 2012-04-24 | Policy management of multiple security domains |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN103378987A true CN103378987A (zh) | 2013-10-30 |
| CN103378987B CN103378987B (zh) | 2016-08-03 |
Family
ID=49381405
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201310127287.XA Expired - Fee Related CN103378987B (zh) | 2012-04-24 | 2013-04-12 | 用于对多个安全域进行策略管理的方法和系统 |
Country Status (2)
| Country | Link |
|---|---|
| US (1) | US9054971B2 (zh) |
| CN (1) | CN103378987B (zh) |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2017181775A1 (zh) * | 2016-04-18 | 2017-10-26 | 电信科学技术研究院 | 分布式授权管理方法及装置 |
| CN111984622A (zh) * | 2020-07-31 | 2020-11-24 | 上海派拉软件股份有限公司 | Pap的配置及运行方法、装置、电子设备和存储介质 |
| CN115189906A (zh) * | 2022-05-24 | 2022-10-14 | 湖南师范大学 | 网络管理系统多域安全管理方法 |
Families Citing this family (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US10511630B1 (en) | 2010-12-10 | 2019-12-17 | CellSec, Inc. | Dividing a data processing device into separate security domains |
| US10305937B2 (en) | 2012-08-02 | 2019-05-28 | CellSec, Inc. | Dividing a data processing device into separate security domains |
| US9294508B2 (en) | 2012-08-02 | 2016-03-22 | Cellsec Inc. | Automated multi-level federation and enforcement of information management policies in a device network |
| US20150026760A1 (en) * | 2013-07-20 | 2015-01-22 | Keith Lipman | System and Method for Policy-Based Confidentiality Management |
| WO2015154066A1 (en) * | 2014-04-04 | 2015-10-08 | David Goldschlag | Method for authentication and assuring compliance of devices accessing external services |
| EP3054646B1 (en) | 2015-02-06 | 2017-03-22 | Axiomatics AB | Policy separation |
| US9967288B2 (en) | 2015-11-05 | 2018-05-08 | International Business Machines Corporation | Providing a common security policy for a heterogeneous computer architecture environment |
| US20170230419A1 (en) * | 2016-02-08 | 2017-08-10 | Hytrust, Inc. | Harmonized governance system for heterogeneous agile information technology environments |
| US10095880B2 (en) * | 2016-09-01 | 2018-10-09 | International Business Machines Corporation | Performing secure queries from a higher security domain of information in a lower security domain |
| CN118784481A (zh) * | 2023-04-04 | 2024-10-15 | 中国移动通信有限公司研究院 | 一种策略管理方法、系统及可读存储介质 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20040187031A1 (en) * | 2001-07-17 | 2004-09-23 | Liddle Alan Thomas | Trust management |
| CN1791026A (zh) * | 2005-12-26 | 2006-06-21 | 北京航空航天大学 | 一种网格授权实现方法 |
| CN1801956A (zh) * | 2005-04-07 | 2006-07-12 | 华为技术有限公司 | 一种资源分配策略系统及其控制通信资源分配的方法 |
| US8131831B1 (en) * | 2006-09-19 | 2012-03-06 | At&T Mobility Ii Llc | Centralized policy management framework for telecommunication networks |
Family Cites Families (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8463819B2 (en) | 2004-09-01 | 2013-06-11 | Oracle International Corporation | Centralized enterprise security policy framework |
| US20060184490A1 (en) | 2005-02-11 | 2006-08-17 | Itamar Heim | System and method for enterprise policy management |
| US20070266422A1 (en) | 2005-11-01 | 2007-11-15 | Germano Vernon P | Centralized Dynamic Security Control for a Mobile Device Network |
| WO2007110094A1 (en) | 2006-03-27 | 2007-10-04 | Telecom Italia S.P.A. | System for enforcing security policies on mobile communications devices |
| US7987495B2 (en) | 2006-12-26 | 2011-07-26 | Computer Associates Think, Inc. | System and method for multi-context policy management |
| US8307404B2 (en) | 2007-04-16 | 2012-11-06 | Microsoft Corporation | Policy-management infrastructure |
-
2012
- 2012-04-24 US US13/454,552 patent/US9054971B2/en not_active Expired - Fee Related
-
2013
- 2013-04-12 CN CN201310127287.XA patent/CN103378987B/zh not_active Expired - Fee Related
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20040187031A1 (en) * | 2001-07-17 | 2004-09-23 | Liddle Alan Thomas | Trust management |
| CN1801956A (zh) * | 2005-04-07 | 2006-07-12 | 华为技术有限公司 | 一种资源分配策略系统及其控制通信资源分配的方法 |
| CN1791026A (zh) * | 2005-12-26 | 2006-06-21 | 北京航空航天大学 | 一种网格授权实现方法 |
| US8131831B1 (en) * | 2006-09-19 | 2012-03-06 | At&T Mobility Ii Llc | Centralized policy management framework for telecommunication networks |
Cited By (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2017181775A1 (zh) * | 2016-04-18 | 2017-10-26 | 电信科学技术研究院 | 分布式授权管理方法及装置 |
| CN111984622A (zh) * | 2020-07-31 | 2020-11-24 | 上海派拉软件股份有限公司 | Pap的配置及运行方法、装置、电子设备和存储介质 |
| CN111984622B (zh) * | 2020-07-31 | 2023-10-31 | 上海派拉软件股份有限公司 | Pap的配置及运行方法、装置、电子设备和存储介质 |
| CN115189906A (zh) * | 2022-05-24 | 2022-10-14 | 湖南师范大学 | 网络管理系统多域安全管理方法 |
| CN115189906B (zh) * | 2022-05-24 | 2023-07-07 | 湖南师范大学 | 网络管理系统多域安全管理方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| US9054971B2 (en) | 2015-06-09 |
| CN103378987B (zh) | 2016-08-03 |
| US20130283338A1 (en) | 2013-10-24 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN103378987A (zh) | 用于对多个安全域进行策略管理的方法和系统 | |
| Rathee et al. | A hybrid framework for multimedia data processing in IoT-healthcare using blockchain technology | |
| Rathee et al. | A secure communicating things network framework for industrial IoT using blockchain technology | |
| Shuaib et al. | Self-sovereign identity for healthcare using blockchain | |
| Pullonen et al. | Privacy-enhanced BPMN: enabling data privacy analysis in business processes models | |
| Al Omar et al. | A transparent and privacy-preserving healthcare platform with novel smart contract for smart cities | |
| US10003698B2 (en) | Method and system for financing of inmate mobile devices | |
| CN102299915B (zh) | 基于网络层声明的访问控制 | |
| Altowaijri | An architecture to improve the security of cloud computing in the healthcare sector | |
| CN104205086A (zh) | 使用查询语言修改用于web服务的访问控制的方法 | |
| KR20170123861A (ko) | 블록 체인을 이용한 기부금 관리 시스템 및 방법 | |
| Karmakar et al. | ChainSure: Agent free insurance system using blockchain for healthcare 4.0 | |
| Shafik et al. | Privacy issues in social Web of things | |
| Desai et al. | Adjudicating violations in data sharing agreements using smart contracts | |
| US11271938B1 (en) | System and method for directives based mechanism to orchestrate secure communications in multi-cloud distributed systems | |
| Levis | Smartphone, dumb regulations: Mixed signals in mobile privacy | |
| Golightly et al. | Towards a Working Conceptual Framework: Cyber Law for Data Privacy and Information Security Management for the Industrial Internet of Things Application Domain | |
| Hemalatha et al. | Secure and private data sharing in CPS e-health systems based on CB-SMO techniques | |
| JP2020024668A (ja) | 資産管理システム及び資産管理方法 | |
| CN109801418A (zh) | 用户自主可控的精细化授权管理方法和装置 | |
| Franceschi et al. | ComeHere: Exploiting ethereum for secure sharing of health-care data | |
| Koussema et al. | Highly Secure Residents Life Event Management System Based on Blockchain by Hyperledger Fabric | |
| Khan et al. | Blockchain based Secure Data Management for Healthcare Applications | |
| CN105659554A (zh) | 基于普遍度的信誉 | |
| Omitola et al. | User Configurable Privacy Requirements Elicitation in Cyber-Physical Systems |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20160803 |
|
| CF01 | Termination of patent right due to non-payment of annual fee |