JP5145340B2 - 論理分解を用いるセキュリティ言語変換 - Google Patents
論理分解を用いるセキュリティ言語変換 Download PDFInfo
- Publication number
- JP5145340B2 JP5145340B2 JP2009527617A JP2009527617A JP5145340B2 JP 5145340 B2 JP5145340 B2 JP 5145340B2 JP 2009527617 A JP2009527617 A JP 2009527617A JP 2009527617 A JP2009527617 A JP 2009527617A JP 5145340 B2 JP5145340 B2 JP 5145340B2
- Authority
- JP
- Japan
- Prior art keywords
- language
- security
- logic
- assertion
- fact
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000000354 decomposition reaction Methods 0.000 title claims description 11
- 238000013519 translation Methods 0.000 title claims description 5
- 238000013475 authorization Methods 0.000 claims description 127
- 238000011156 evaluation Methods 0.000 claims description 58
- 239000012634 fragment Substances 0.000 claims description 58
- 238000004422 calculation algorithm Methods 0.000 claims description 44
- 238000000034 method Methods 0.000 claims description 43
- 238000006243 chemical reaction Methods 0.000 claims description 23
- 230000009466 transformation Effects 0.000 claims description 9
- 238000010586 diagram Methods 0.000 description 31
- 238000012550 audit Methods 0.000 description 21
- 230000014509 gene expression Effects 0.000 description 17
- 230000009471 action Effects 0.000 description 14
- 230000007246 mechanism Effects 0.000 description 14
- 230000006870 function Effects 0.000 description 13
- 238000013459 approach Methods 0.000 description 10
- 230000008569 process Effects 0.000 description 9
- 238000006467 substitution reaction Methods 0.000 description 9
- 230000008859 change Effects 0.000 description 5
- 238000009795 derivation Methods 0.000 description 5
- 238000007726 management method Methods 0.000 description 5
- 238000013507 mapping Methods 0.000 description 4
- 239000003607 modifier Substances 0.000 description 4
- 230000008901 benefit Effects 0.000 description 3
- 230000005540 biological transmission Effects 0.000 description 3
- 238000004891 communication Methods 0.000 description 3
- 238000005516 engineering process Methods 0.000 description 3
- 230000001010 compromised effect Effects 0.000 description 2
- 238000012854 evaluation process Methods 0.000 description 2
- 230000000644 propagated effect Effects 0.000 description 2
- 238000013024 troubleshooting Methods 0.000 description 2
- 241000700605 Viruses Species 0.000 description 1
- 239000008186 active pharmaceutical agent Substances 0.000 description 1
- 230000006978 adaptation Effects 0.000 description 1
- 238000007792 addition Methods 0.000 description 1
- 238000004458 analytical method Methods 0.000 description 1
- 230000015572 biosynthetic process Effects 0.000 description 1
- 238000004364 calculation method Methods 0.000 description 1
- 230000001413 cellular effect Effects 0.000 description 1
- ZPUCINDJVBIVPJ-LJISPDSOSA-N cocaine Chemical compound O([C@H]1C[C@@H]2CC[C@@H](N2C)[C@H]1C(=O)OC)C(=O)C1=CC=CC=C1 ZPUCINDJVBIVPJ-LJISPDSOSA-N 0.000 description 1
- 230000000295 complement effect Effects 0.000 description 1
- 239000012141 concentrate Substances 0.000 description 1
- 239000000470 constituent Substances 0.000 description 1
- 230000001419 dependent effect Effects 0.000 description 1
- 230000007613 environmental effect Effects 0.000 description 1
- 238000013209 evaluation strategy Methods 0.000 description 1
- 239000000835 fiber Substances 0.000 description 1
- 238000001914 filtration Methods 0.000 description 1
- 230000006872 improvement Effects 0.000 description 1
- 230000006698 induction Effects 0.000 description 1
- 230000010354 integration Effects 0.000 description 1
- 230000007774 longterm Effects 0.000 description 1
- 239000000203 mixture Substances 0.000 description 1
- 238000012544 monitoring process Methods 0.000 description 1
- 230000006855 networking Effects 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 230000008520 organization Effects 0.000 description 1
- 238000007639 printing Methods 0.000 description 1
- 230000009467 reduction Effects 0.000 description 1
- 230000004044 response Effects 0.000 description 1
- 238000000926 separation method Methods 0.000 description 1
- 238000001228 spectrum Methods 0.000 description 1
- 238000010561 standard procedure Methods 0.000 description 1
- 230000002123 temporal effect Effects 0.000 description 1
- 238000012360 testing method Methods 0.000 description 1
- 238000000844 transformation Methods 0.000 description 1
- 238000012795 verification Methods 0.000 description 1
- 230000000007 visual effect Effects 0.000 description 1
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F9/00—Arrangements for program control, e.g. control units
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F15/00—Digital computers in general; Data processing equipment in general
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F17/00—Digital computing or data processing equipment or methods, specially adapted for specific functions
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/31—User authentication
- G06F21/36—User authentication by graphic or iconic representation
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/62—Protecting access to data via a platform, e.g. using keys or access control rules
- G06F21/6218—Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
- G06F21/6236—Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database between heterogeneous systems
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F3/00—Input arrangements for transferring data to be processed into a form capable of being handled by the computer; Output arrangements for transferring data from processing unit to output unit, e.g. interface arrangements
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/21—Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/2141—Access rights, e.g. capability lists, access control lists, access tables, access matrices
Description
図1は、例示的セキュリティ方式100を実施できる例示的な一般的な環境を示すブロック図である。セキュリティ方式(security scheme)100は、セキュリティに対する統合された手法を表す。図示されているように、セキュリティ方式100は、複数のセキュリティ概念すなわち、セキュリティトークン100(A)、セキュリティポリシ100(B)、および評価エンジン100(C)を含む。一般に、セキュリティトークン100(A)およびセキュリティポリシ100(B)は、合同で評価エンジン100(C)に入力を供給する。評価エンジン100(C)は、それらの入力を受け入れ、あるリソースへのアクセスを許可すべきか拒否すべきかを示す認可出力を生産する。
このセクションでは、セキュリティポリシアサーション言語(SecPAL)の実装の例示的な特性を説明する。このセクションのSecPALの実装は、比較的略式的で、例としてのみ説明される。このセクションのSecPALの実装は、エンドツーエンドソリューションの作成に用いられる広範囲のセキュリティポリシおよびセキュリティトークンの義務に対処する能力を有する。これらのセキュリティポリシおよびセキュリティトークンの責任は、限定ではなく例として、明示的信頼関係を記述すること、セキュリティトークン発行ポリシを表すこと、アイデンティティ、属性、能力、および/または委任(delegation)ポリシを含むセキュリティトークンを提供すること、リソース認可および委任ポリシを表すことなどを含む。
セキュリティは、現代のコンピューティングシステムにおいてクリティカルである。セキュリティを、認可されるアクセスを決定する効率的で高保証の柔軟な機構を用いて容易にすることができる。これは、ポリシベースの手法を使用して達成可能である。そのようなシステムでは、ポリシは、アクセス判断を行い、実施するための基礎になるコードを変更する必要なしに現在の必要を反映するように変化することができる。
セキュリティ言語の式の複数の例示的な実施態様を、本明細書で提供する。これらの実施態様は、結果のセキュリティポリシを効率的なある種の形で論理的に分解できるように設計されている。
例示的なセキュリティ言語のコア構文を、ここで説明する。セキュリティ構文の追加の構文は、たとえば単一のアサーション内の一連の権利を委任するための、アサーションのグループ化のために設けることができるが、これらの構文などの追加は、コア構文に限定することができる。セキュリティ言語の例示的な実施態様は、定数、関数、および変数の型付け規律を強制することもできるが、そのような型付け強制は、ここでは、コア構文に集中するために省略する。
認可ポリシは、次の形のアサーションの集合として指定される。
A says fact if fact1,…,factn,c
ここで、factは、たとえば誰かがファイルを読み取る権利を有することなど、プリンシパルに関するプロパティを述べる述部にわたる。例示的な実施態様では、アサーションは、ホーン節に似たものとすることができるが、(1)アサーションは、アサートされるclaimを発行し、その証人となるあるプリンシパルAによって修飾され、(2)factは、キーワードcan assertを使用することによってネストすることができ、これによって、委任権利が指定され、(3)アサーション内の変数は、cすなわち、たとえば時間的制約、不等性制約、木構造制約、正規表現制約などを表すことができるファーストオーダーの式(first order formula)によって制約されるという相違を有する。
制約は、下に示す例示的な基本制約領域を拡張するすべての制約領域にまたがる。基本制約は、整数不等性(たとえば、時間的制約を表すため)、ツリー順序制約(たとえば、ディレクトリ用)、および正規表現(たとえば、アドホックフィルタリング用)を含む。基本制約の例を、下に示す。
これから言語セマンティックス608の形式的な定義を与える。まず、グラウンド式の記号を定義する。定数Aの記号は、単にAであり、したがって[[A]]=Aである。関数
|=True
|=e1=e2 [[e1]および[[e2]]が等しい定数である場合に限って
|=e1≦e2 [[e1]]および[[e2]]が整数定数であり、[[e1]]≦[[e2]]の場合に限って
|=e matches pattern [[e]]が、patternと一致する文字列定数である場合に限って
|=not(c) |=cが成り立たない場合に限って
|=c1,c2 |=c1かつ|=c2である場合に限って
(1)アサーションコンテキストAC内にルール「A says fact if fact1,…,factk,c」があり、
(2)リスト「fact1」,…,「factk」内の「facti」ごとに「AC,D|=A says facti θ」を導出することができ、
(3)制約「cθ」が有効であり、
(4)fact「fact θ」がグラウンドである。
(1)「AC,∞|=A says B can assertD fact」を導出することができ、
(2)「AC,D|=B says fact」を導出することができる。
(1)「AC,D|=A says C verbphrase」を導出することができ、
(2)「AC,D|=A says B alias C」を導出することができる。
命題2.3 AC,D|=A says factならば、Vars(fact)=φである。
命題2.4 AC,0|=A says factならば、AC,∞|=A says factである。
命題2.5 AC1,D|=A says factならば、すべてのAC2について、AC1 ∪ AC2,D|=A says factが成り立つ。
命題2.6 ACAが、その発行者がAであるAC内のすべてのアサーションの集合であるものとする。ACA,0|=A says factである場合に限って、AC,0|=A says factである。
認可要求は、アサーションコンテキスト(ローカルアサーションならびにインポートされたアサーションを含む)を照会することによって判断される。論理言語の説明される実施態様では、認可クエリに、否定を含む論理結合子によって組み合わされた、A says factおよび制約cの形の原子的クエリのコレクションを含めることができる。例示的な認可クエリ構文606は、次の通りである。
概念上、認可クエリは、ローカルポリシの一部であり、命令的コードとは別に保持することができる。セキュリティ言語の説明される実施態様では、ローカルアサーションコンテキストに属する認可クエリは、認可クエリテーブルと呼ばれる単一の場所に保持される。このテーブルは、パラメータ化されたメソッド名をクエリにマッピングすることによって、認可クエリへのインターフェースを提供する。要求時に、リソースガードは、このテーブルによって認可クエリにマッピングされるメソッドを呼び出し(クエリを直接に発行するのではなく)、次に、この認可クエリが、アサーションコンテキストを照会するのに使用される。
セキュリティ言語の例示的な実施態様では、認可アルゴリズムは、入力が何であろうと、終了し、説明されているセマンティックスに関する回答の完全な集合を返すことを要求される。さらなる制限なしには、これを保証することはできない。というのは、制約領域が制約コンパクトではないからである。したがって、説明される実施形態では、比較的単純で純粋に構文的な制限が、アサーションおよびクエリに対して強制される。
そうではない(すなわち、factがe can assertD fact’の形である)場合には、eのすべての変数は安全である、あるいは、より具体的には、eは安全な変数または定数であり、
2.Vars(c)⊆Vars(fact)∪Vars(fact1)∪…∪Vars(factn)であり、
3.fact1,…,factnがフラットである。
セキュリティ言語の説明される実施態様では、満了日付を、通常の動詞句パラメータとして表すことができる。
本明細書で上述したセキュリティ言語の例示的な実施態様は、人間がよく理解できる形でセキュリティポリシを表す機構を提供する。さらに、このセキュリティ言語を、安全性についてチェックすることができる。しかし、セキュリティポリシを、認可判断を行うために評価する必要もある。
説明されるセキュリティ言語の例示的なアサーションセマンティックスは、セクション2の3つの演繹ルールによって定義される。このセマンティックスは、既に提案した、ある形の形式論理への変換に関して定義されたセマンティックスより理解でき、直観的である。それでも、このセマンティックスは、セキュリティ言語アサーションコンテキストを同等の論理言語プログラムに効率的に変換できるようになるのに有用である。次に、既知の複雑さ結果(たとえば、多項式データ複雑さ)を活用し、変換された論理言語プログラムをクエリ評価に使用することができ、これをセクション8で説明する。
1.fact0がフラットである場合に、アサーション
A saysk e verbphrase:− …
の形の上で作成されたDatalogルールのそれぞれについて、ルール
A saysk x verbphrase:−
A saysk x alias e,
A saysk e verbphrase
を追加する。ここで、xは新しい変数である。kが、新しい変数ではなく、定数またはオリジナルルールからとられた変数のいずれかであることに留意されたい。
最後に、ステップ3で、次のルールも追加される。
上のセクションでは、安全なセキュリティ言語アサーションの集合を、同等の少なくとも部分的に安全な制約付きDatalogプログラムにどのように変換できるかを示した。演繹データベースのコンテキストでは、ボトムアップ手法が、Datalog評価に最も頻繁に使用される。その場合に、プログラムのモデルまたはその最小固定点(安全性に起因して有限である)は、一度だけ計算される。これは、完全で終了する手順であるという利益を有し、クエリ評価は、固定点が構築されたならば高速である。
定義8.4 PおよびQが、2つの述部であるものとする。ある置換θについてP=Qθである場合に限って、Pは、Qのインスタンスである。PがQによって包含されるとも言い、P=>Qと書く。
定義8.6
前のセクションからのアルゴリズムに基づいて、これから、セクション3で定義した複雑な認可クエリをどのように評価するかを説明することができる。次では、ACが、アサーションコンテキストであり、
1.AuthAnsAC(q)が定義され、有限であり、
2.θ∈AuthAnsAC(q)の場合に限って
Claims (15)
- 論理分解を用いるセキュリティ言語変換のためにコンピュータが実行する方法であって、前記方法は、
セキュリティプリンシパル、アサートされる事実、0個以上の条件事実および0個以上の制約を含み、前記0個以上の条件事実が有効でありかつ前記0個以上の制約を満たす場合のみに、前記セキュリティプリンシパルが前記アサートされる事実が有効であると述べるというフォーマットを有する、セキュリティ言語アサーションについて、前記コンピュータが備える判定手段が、前記アサートされる事実がフラットであるかどうかを判定するステップであって、前記アサートされる事実に、「アサートできる」を含む委任ディレクティブ動詞があれば、前記アサートされる事実がフラットではないと判定され、そうでなければ、前記アサートされる事実がフラットであると判定される、ステップと、
前記アサートされる事実がフラットではないと判定される場合に、前記コンピュータが備える論理言語ルール変換手段が、前記セキュリティ言語アサーションを論理言語ルールのセットに変換するステップであって、前記論理言語ルールは、条件論理言語ルールと、委任論理言語ルールおよび別名論理言語ルールを含み、前記論理言語ルールのセットに変換するステップは、
前記コンピュータが備える条件論理言語ルールを作成する手段が、前記セキュリティ言語アサーションから条件論理言語ルールを作成することであって、前記作成される論理言語ルールは主事実および0個以上の付帯条件を有し、前記主事実が前記アサートされる事実に対応し、前記0個以上の付帯条件が前記0個以上の条件事実に対応する、ことと、
前記コンピュータが備える委任論理言語ルールを作成する手段が、前記アサートされる事実の委任ディレクティブ動詞ごとに、委任ディレクティブ動詞に対応する権利が新しく委任されることを表す委任論理言語ルールを作成することであって、前記委任論理言語ルールは、前記権利が委任されようとしている受任者を表す新しい変数を有し、かつ前記委任の下流委任の数が制限されない、ことと
を含む、ステップと
を備えることを特徴とする方法。 - 前記論理言語ルールのセットに変換するステップは、前記コンピュータが備える別名論理言語ルールを作成する手段が、前記委任論理言語ルールに関して、別名論理言語ルールを作成することをさらに含み、前記作成される別名論理言語ルールは、前記受任者の別名オブジェクトを表す新しい変数を有することを特徴とする請求項1に記載の方法。
- 前記コンピュータが備える変換する手段が、複数のセキュリティ言語アサーションを含むアサーションコンテキストのセキュリティ言語アサーションごとに前記判定および前記変換を繰り返すことにより、前記アサーションコンテキストを論理言語プログラムに変換するステップと、
前記コンピュータが備える評価する手段が、リソースへのアクセスを許可すべきかどうかを決定するために、前記アサーションコンテキストに対する認可クエリを評価するステップであって、前記アサーションコンテキストに対する認可クエリは、前記変換した論理言語プログラムを使用して評価されるステップと
をさらに備えることを特徴とする請求項2に記載の方法。 - 前記評価するステップは、
前記論理言語プログラムを反映する第1の証明グラフを作ること
を含み、前記第1の証明グラフは、前記論理言語プログラムに含まれる論理言語ルールに関連する論理言語証明フラグメントを1つ以上有し、
前記方法は、
前記コンピュータが備える第2の証明グラフに変換する手段が、前記第1の証明グラフを、前記セキュリティ言語アサーションを反映する第2の証明グラフに変換するステップ
をさらに備え、前記第2の証明グラフに変換するステップは、
前記第1証明グラフの論理言語証明フラグメントを、前記第2証明グラフの対応するセキュリティ言語証明フラグメントに変換することと、
前記第1証明グラフの論理言語証明フラグメントごとに当該変換を繰り返すことと
を含むことを特徴とする請求項3に記載の方法。 - 前記評価するステップは
テーブル化に基づく決定性アルゴリズムを適用すること
を含み、前記テーブル化は、前記評価において使用される前記論理言語プログラムの論理言語ルールに関して、述部を、変数を含まないグラウンド述部の集合にマッピングする第1テーブルと、述部を、トップレベル述部、次に解くべき述部、およびその後に解くべき述部のリストを含むサブゴールにマッピングする第2テーブルとを利用することを特徴とする請求項3に記載の方法。 - 論理分解を用いるセキュリティ言語変換のための方法をコンピュータに実行させるためのコンピュータ可読命令を記憶したコンピュータ可読記録媒体であって、前記方法は、
セキュリティプリンシパル、アサートされる事実、0個以上の条件事実および0個以上の制約を含み、前記0個以上の条件事実が有効でありかつ前記0個以上の制約を満たす場合のみに、前記セキュリティプリンシパルが前記アサートされる事実が有効であると述べるというフォーマットを有する、セキュリティ言語アサーションについて、前記コンピュータが備える判定手段が、前記アサートされる事実がフラットであるかどうかを判定するステップであって、前記アサートされる事実に、「アサートできる」を含む委任ディレクティブ動詞があれば、前記アサートされる事実がフラットではないと判定され、そうでなければ、前記アサートされる事実がフラットであると判定される、ステップと、
前記アサートされる事実がフラットではないと判定される場合に、前記コンピュータが備える論理言語ルール変換手段が、前記セキュリティ言語アサーションを論理言語ルールのセットに変換するステップであって、前記論理言語ルールは、条件論理言語ルールと、委任論理言語ルールおよび別名論理言語ルールを含み、前記論理言語ルールのセットに変換するステップは、
前記コンピュータが備える条件論理言語ルールを作成する手段が、前記セキュリティ言語アサーションから条件論理言語ルールを作成することであって、前記作成される論理言語ルールは主事実および0個以上の付帯条件を有し、前記主事実が前記アサートされる事実に対応し、前記0個以上の付帯条件が前記0個以上の条件事実に対応する、ことと、
前記コンピュータが備える委任論理言語ルールを作成する手段が、前記アサートされる事実の委任ディレクティブ動詞ごとに、委任ディレクティブ動詞に対応する権利が新しく委任されることを表す委任論理言語ルールを作成することであって、前記委任論理言語ルールは、前記権利が委任されようとしている受任者を表す新しい変数を有し、かつ前記委任の下流委任の数が制限されない、ことと
を含む、ステップと
を備えることを特徴とするコンピュータ可読記録媒体。 - 前記論理言語ルールのセットに変換するステップは、前記コンピュータが備える別名論理言語ルールを作成する手段が、前記委任論理言語ルールに関して、別名論理言語ルールを作成することをさらに含み、前記作成される別名論理言語ルールは、前記受任者の別名オブジェクトを表す新しい変数を有することを特徴とする請求項6に記載のコンピュータ可読記録媒体。
- 前記コンピュータが備える変換する手段が、複数のセキュリティ言語アサーションを含むアサーションコンテキストのセキュリティ言語アサーションごとに前記判定および前記変換を繰り返すことにより、前記アサーションコンテキストを論理言語プログラムに変換するステップと、
前記コンピュータが備える評価する手段が、リソースへのアクセスを許可すべきかどうかを決定するために、前記アサーションコンテキストに対する認可クエリを評価するステップであって、前記アサーションコンテキストに対する認可クエリは、前記変換した論理言語プログラムを使用して評価されるステップと
をさらに備えることを特徴とする請求項7に記載のコンピュータ可読記録媒体。 - 前記評価するステップは、
前記論理言語プログラムを反映する第1の証明グラフを作ること
を含み、前記第1の証明グラフは、前記論理言語プログラムに含まれる論理言語ルールに関連する論理言語証明フラグメントを1つ以上有し、
前記方法は、
前記コンピュータが備える第2の証明グラフに変換する手段が、前記第1の証明グラフを、前記セキュリティ言語アサーションを反映する第2の証明グラフに変換するステップ
をさらに備え、前記第2の証明グラフに変換するステップは、
前記第1証明グラフの論理言語証明フラグメントを、前記第2証明グラフの対応するセキュリティ言語証明フラグメントに変換することと、
前記第1証明グラフの論理言語証明フラグメントごとに当該変換を繰り返すことと
を含むことを特徴とする請求項8に記載のコンピュータ可読記録媒体。 - 前記評価するステップは
テーブル化に基づく決定性アルゴリズムを適用すること
を含み、前記テーブル化は、前記評価において使用される前記論理言語プログラムの論理言語ルールに関して、述部を、変数を含まないグラウンド述部の集合にマッピングする第1テーブルと、述部を、トップレベル述部、次に解くべき述部、およびその後に解くべき述部のリストを含むサブゴールにマッピングする第2テーブルとを利用することを特徴とする請求項8に記載のコンピュータ可読記録媒体。 - 論理分解を用いるセキュリティ言語変換のためのコンピュータシステムであって、前記コンピュータシステムは、
セキュリティプリンシパル、アサートされる事実、0個以上の条件事実および0個以上の制約を含み、前記0個以上の条件事実が有効でありかつ前記0個以上の制約を満たす場合のみに、前記セキュリティプリンシパルが前記アサートされる事実が有効であると述べるというフォーマットを有する、セキュリティ言語アサーションについて、前記アサートされる事実がフラットであるかどうかを判定する判定手段であって、前記アサートされる事実に、「アサートできる」を含む委任ディレクティブ動詞があれば、前記アサートされる事実がフラットではないと判定され、そうでなければ、前記アサートされる事実がフラットであると判定される、判定手段と、
前記アサートされる事実がフラットではないと判定される場合に、前記セキュリティ言語アサーションを論理言語ルールのセットに変換する論理言語ルール変換手段であって、前記論理言語ルールは、条件論理言語ルールと、委任論理言語ルールおよび別名論理言語ルールを含む、論理言語ルール変換手段と
を備え、前記論理言語ルール変換手段は、
前記セキュリティ言語アサーションから条件論理言語ルールを作成する手段であって、前記作成される論理言語ルールは主事実および0個以上の付帯条件を有し、前記主事実が前記アサートされる事実に対応し、前記0個以上の付帯条件が前記0個以上の条件事実に対応する、手段と、
前記アサートされる事実の委任ディレクティブ動詞ごとに、委任ディレクティブ動詞に対応する権利が新しく委任されることを表す委任論理言語ルールを作成する手段であって、前記委任論理言語ルールは、前記権利が委任されようとしている受任者を表す新しい変数を有し、かつ前記委任の下流委任の数が制限されない、手段と
を含むことを特徴とするコンピュータシステム。 - 前記論理言語ルール変換手段は、
前記委任論理言語ルールに関して、別名論理言語ルールを作成する手段
をさらに含み、前記作成される別名論理言語ルールは、前記受任者の別名オブジェクトを表す新しい変数を有することを特徴とする請求項11に記載のコンピュータシステム。 - 前記コンピュータシステムは、
複数のセキュリティ言語アサーションを含むアサーションコンテキストのセキュリティ言語アサーションごとに前記判定および前記変換を繰り返すことにより、前記アサーションコンテキストを論理言語プログラムに変換する手段と、
リソースへのアクセスを許可すべきかどうかを決定するために、前記アサーションコンテキストに対する認可クエリを評価する手段であって、前記アサーションコンテキストに対する認可クエリは、前記変換した論理言語プログラムを使用して評価される、手段と
をさらに備えることを特徴とする請求項12に記載のコンピュータシステム。 - 前記評価する手段は、
前記論理言語プログラムを反映する第1の証明グラフを作り、前記第1の証明グラフは、前記論理言語プログラムに含まれる論理言語ルールに関連する論理言語証明フラグメントを1つ以上有し、
前記コンピュータシステムは、
前記第1の証明グラフを、前記セキュリティ言語アサーションを反映する第2の証明グラフに変換する手段
をさらに備え、前記第2の証明グラフに変換する手段は、
前記第1証明グラフの論理言語証明フラグメントを、前記第2証明グラフの対応するセキュリティ言語証明フラグメントに変換し、
前記第1証明グラフの論理言語証明フラグメントごとに当該変換を繰り返す
ことを特徴とする請求項13に記載のコンピュータシステム。 - 前記評価する手段は、
テーブル化に基づく決定性アルゴリズムを適用し、前記テーブル化は、前記評価において使用される前記論理言語プログラムの論理言語ルールに関して、述部を、変数を含まないグラウンド述部の集合にマッピングする第1テーブルと、述部を、トップレベル述部、次に解くべき述部、およびその後に解くべき述部のリストを含むサブゴールにマッピングする第2テーブルとを利用することを特徴とする請求項13に記載のコンピュータシステム。
Applications Claiming Priority (3)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
US11/530,556 US8656503B2 (en) | 2006-09-11 | 2006-09-11 | Security language translations with logic resolution |
US11/530,556 | 2006-09-11 | ||
PCT/US2007/078081 WO2008033786A1 (en) | 2006-09-11 | 2007-09-10 | Security language translations with logic resolution |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2010503129A JP2010503129A (ja) | 2010-01-28 |
JP5145340B2 true JP5145340B2 (ja) | 2013-02-13 |
Family
ID=39171320
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2009527617A Active JP5145340B2 (ja) | 2006-09-11 | 2007-09-10 | 論理分解を用いるセキュリティ言語変換 |
Country Status (8)
Country | Link |
---|---|
US (2) | US8656503B2 (ja) |
EP (1) | EP2062150B1 (ja) |
JP (1) | JP5145340B2 (ja) |
KR (1) | KR101448319B1 (ja) |
CN (1) | CN101512505B (ja) |
CA (2) | CA2658132C (ja) |
IL (2) | IL196524A (ja) |
WO (1) | WO2008033786A1 (ja) |
Families Citing this family (16)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2000079452A2 (en) * | 1999-06-18 | 2000-12-28 | Echarge Corporation | Method and apparatus for ordering goods, services and content over an internetwork using a virtual payment account |
US8532978B1 (en) * | 2008-10-31 | 2013-09-10 | Afrl/Rij | Natural language interface, compiler and de-compiler for security policies |
US8407807B2 (en) * | 2010-05-25 | 2013-03-26 | Microsoft Corporation | Dynamic assertion providers for logic-based security policy languages |
US20150074154A1 (en) * | 2012-02-29 | 2015-03-12 | Media Patents, S.L. | Method of secure storing of content objects, and system and apparatus thereof |
US11334884B2 (en) * | 2012-05-04 | 2022-05-17 | Institutional Cash Distributors Technology, Llc | Encapsulated security tokens for electronic transactions |
WO2013166518A1 (en) * | 2012-05-04 | 2013-11-07 | Institutional Cash Distributors Technology, Llc | Secure transaction object creation, propagation and invocation |
US10423952B2 (en) * | 2013-05-06 | 2019-09-24 | Institutional Cash Distributors Technology, Llc | Encapsulated security tokens for electronic transactions |
US20130347063A1 (en) * | 2012-06-21 | 2013-12-26 | Microsoft Corporation | Handling claims traversing security boundaries |
US8689285B1 (en) * | 2012-09-14 | 2014-04-01 | Siemens Product Lifecycle Management Software Inc. | Rule-based derived-group security data management |
CN103020714B (zh) * | 2012-12-10 | 2015-04-15 | 东南大学 | 一种基于生成-验证的认知描述程序的求解方法 |
US9356918B2 (en) * | 2013-03-13 | 2016-05-31 | Google Inc. | Identification delegation for devices |
US9325739B1 (en) | 2013-04-29 | 2016-04-26 | Amazon Technologies, Inc. | Dynamic security policy generation |
US9948468B2 (en) * | 2014-12-23 | 2018-04-17 | Mcafee, Llc | Digital heritage notary |
CN105429965A (zh) * | 2015-11-04 | 2016-03-23 | 上海电机学院 | 协商信任规则的冲突消解方法 |
US10410010B2 (en) | 2016-03-08 | 2019-09-10 | Oracle International Corporation | Language-localized policy statements |
CN111708539B (zh) * | 2020-06-17 | 2021-07-06 | 腾讯科技(深圳)有限公司 | 一种应用程序代码转换方法、装置、电子设备和存储介质 |
Family Cites Families (119)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US4868877A (en) * | 1988-02-12 | 1989-09-19 | Fischer Addison M | Public key/signature cryptosystem with enhanced digital signature certification |
US5214702A (en) * | 1988-02-12 | 1993-05-25 | Fischer Addison M | Public key/signature cryptosystem with enhanced digital signature certification |
US5649099A (en) * | 1993-06-04 | 1997-07-15 | Xerox Corporation | Method for delegating access rights through executable access control program without delegating access rights not in a specification to any intermediary nor comprising server security |
US7133846B1 (en) * | 1995-02-13 | 2006-11-07 | Intertrust Technologies Corp. | Digital certificate support system, methods and techniques for secure electronic commerce transaction and rights management |
US5765153A (en) * | 1996-01-03 | 1998-06-09 | International Business Machines Corporation | Information handling system, method, and article of manufacture including object system authorization and registration |
US6216231B1 (en) * | 1996-04-30 | 2001-04-10 | At & T Corp. | Specifying security protocols and policy constraints in distributed systems |
US6484261B1 (en) * | 1998-02-17 | 2002-11-19 | Cisco Technology, Inc. | Graphical network security policy management |
US6256734B1 (en) * | 1998-02-17 | 2001-07-03 | At&T | Method and apparatus for compliance checking in a trust management system |
US6189103B1 (en) * | 1998-07-21 | 2001-02-13 | Novell, Inc. | Authority delegation with secure operating system queues |
US6367009B1 (en) * | 1998-12-17 | 2002-04-02 | International Business Machines Corporation | Extending SSL to a multi-tier environment using delegation of authentication and authority |
CA2296989C (en) * | 1999-01-29 | 2005-10-25 | Lucent Technologies Inc. | A method and apparatus for managing a firewall |
JP2000235497A (ja) | 1999-02-15 | 2000-08-29 | Nippon Telegr & Teleph Corp <Ntt> | ポリシマクロ方法及びポリシマクロプログラムを格納した記憶媒体 |
AU3266900A (en) | 1999-03-15 | 2000-10-04 | Texar Software Corp. | Computer security system |
US7127605B1 (en) * | 1999-05-10 | 2006-10-24 | Axalto, Inc. | Secure sharing of application methods on a microcontroller |
US7260715B1 (en) * | 1999-12-09 | 2007-08-21 | Koninklijke Philips Electronics N.V. | Method and apparatus for revocation list management |
JP3546787B2 (ja) | 1999-12-16 | 2004-07-28 | インターナショナル・ビジネス・マシーンズ・コーポレーション | アクセス制御システム、アクセス制御方法、及び記憶媒体 |
US6779120B1 (en) * | 2000-01-07 | 2004-08-17 | Securify, Inc. | Declarative language for specifying a security policy |
US7246370B2 (en) * | 2000-01-07 | 2007-07-17 | Security, Inc. | PDstudio design system and method |
US7313692B2 (en) * | 2000-05-19 | 2007-12-25 | Intertrust Technologies Corp. | Trust management systems and methods |
US7024592B1 (en) | 2000-08-07 | 2006-04-04 | Cigital | Method for reducing catastrophic failures in continuously operating software systems |
GB2368929B (en) | 2000-10-06 | 2004-12-01 | Andrew Mather | An improved system for storing and retrieving data |
JP2002163235A (ja) | 2000-11-28 | 2002-06-07 | Mitsubishi Electric Corp | アクセス権限譲渡装置、共有リソース管理システム及びアクセス権限設定方法 |
US7363339B2 (en) * | 2000-12-22 | 2008-04-22 | Oracle International Corporation | Determining group membership |
AU2002234254B2 (en) * | 2001-01-17 | 2005-04-21 | Contentguard Holdings, Inc. | Method and apparatus for managing digital content usage rights |
US7243090B2 (en) | 2001-05-16 | 2007-07-10 | Sun Microsystems, Inc. | System and method for specification tracking in a Java compatibility testing environment |
US6895503B2 (en) * | 2001-05-31 | 2005-05-17 | Contentguard Holdings, Inc. | Method and apparatus for hierarchical assignment of rights to documents and documents having such rights |
US6976009B2 (en) * | 2001-05-31 | 2005-12-13 | Contentguard Holdings, Inc. | Method and apparatus for assigning consequential rights to documents and documents having such rights |
US7426635B1 (en) * | 2001-06-28 | 2008-09-16 | Entrust Technologies Limited | Bulk certificate lifetime allocation systems, components and methods |
EP1303097A3 (en) * | 2001-10-16 | 2005-11-30 | Microsoft Corporation | Virtual distributed security system |
US7367014B2 (en) * | 2001-10-24 | 2008-04-29 | Bea Systems, Inc. | System and method for XML data representation of portlets |
US7155720B2 (en) * | 2001-10-26 | 2006-12-26 | Hewlett-Packard Development Company, L.P. | Dynamic task assignment in workflows |
JP2003140890A (ja) * | 2001-10-31 | 2003-05-16 | Asgent Inc | 電子機器設定情報作成方法及び装置並びにセキュリティポリシー作成方法及び関連装置 |
US7844610B2 (en) * | 2003-12-12 | 2010-11-30 | Google Inc. | Delegated authority evaluation system |
US7184985B2 (en) * | 2002-05-30 | 2007-02-27 | Microsoft Corporation | Method, system, and apparatus for providing secure access to a digital work |
US7596692B2 (en) * | 2002-06-05 | 2009-09-29 | Microsoft Corporation | Cryptographic audit |
CN1663174A (zh) * | 2002-06-17 | 2005-08-31 | 皇家飞利浦电子股份有限公司 | 用于在设备之间进行验证的方法 |
AU2003253667A1 (en) * | 2002-06-18 | 2003-12-31 | Arizona Board Of Regents, Acting For Arizona State University | Assignment and management of authentication and authorization |
US6931530B2 (en) * | 2002-07-22 | 2005-08-16 | Vormetric, Inc. | Secure network file access controller implementing access control and auditing |
WO2004010258A2 (en) * | 2002-07-22 | 2004-01-29 | Trusted Media Networks, Inc. | System and method for validating security access across a network layer and a local file layer |
US7770212B2 (en) * | 2002-08-15 | 2010-08-03 | Activcard | System and method for privilege delegation and control |
US7512782B2 (en) * | 2002-08-15 | 2009-03-31 | Microsoft Corporation | Method and system for using a web service license |
US7376840B2 (en) * | 2002-09-30 | 2008-05-20 | Lucent Technologies, Inc. | Streamlined service subscription in distributed architectures |
US7171202B2 (en) | 2002-09-30 | 2007-01-30 | Siemens Aktiengesellschaft | Verifying check-in authentication by using an access authentication token |
US20040068757A1 (en) * | 2002-10-08 | 2004-04-08 | Heredia Edwin Arturo | Digital signatures for digital television applications |
WO2004036425A1 (en) * | 2002-10-17 | 2004-04-29 | Simplima Ltd. | System and method for secure usage right management of digital products |
US7451217B2 (en) | 2002-12-19 | 2008-11-11 | International Business Machines Corporation | Method and system for peer-to-peer authorization |
JP2004206187A (ja) | 2002-12-24 | 2004-07-22 | Hitachi Ltd | コミュニティ管理システム |
US20040128546A1 (en) | 2002-12-31 | 2004-07-01 | International Business Machines Corporation | Method and system for attribute exchange in a heterogeneous federated environment |
US7219154B2 (en) | 2002-12-31 | 2007-05-15 | International Business Machines Corporation | Method and system for consolidated sign-off in a heterogeneous federated environment |
US7249373B2 (en) | 2003-01-15 | 2007-07-24 | Microsoft Corporation | Uniformly representing and transferring security assertion and security response information |
US7703128B2 (en) | 2003-02-13 | 2010-04-20 | Microsoft Corporation | Digital identity management |
US7290138B2 (en) * | 2003-02-19 | 2007-10-30 | Microsoft Corporation | Credentials and digitally signed objects |
US7543140B2 (en) * | 2003-02-26 | 2009-06-02 | Microsoft Corporation | Revocation of a certificate and exclusion of other principals in a digital rights management (DRM) system based on a revocation list from a delegated revocation authority |
WO2004081756A2 (en) * | 2003-03-12 | 2004-09-23 | Nationwide Mutual Insurance Co | Trust governance framework |
US8281374B2 (en) * | 2005-09-14 | 2012-10-02 | Oracle International Corporation | Attested identities |
US7644275B2 (en) * | 2003-04-15 | 2010-01-05 | Microsoft Corporation | Pass-thru for client authentication |
FR2854294B1 (fr) * | 2003-04-22 | 2005-07-01 | France Telecom | Procede de signature electronique avec mecanisme de delegation, equipements et programmes pour la mise en oeuvre du procede |
US20040221174A1 (en) * | 2003-04-29 | 2004-11-04 | Eric Le Saint | Uniform modular framework for a host computer system |
US20050108176A1 (en) * | 2003-04-30 | 2005-05-19 | Jarol Scott B. | Configurable rules based content item consumption |
US7900240B2 (en) * | 2003-05-28 | 2011-03-01 | Citrix Systems, Inc. | Multilayer access control security system |
US7512785B2 (en) * | 2003-07-18 | 2009-03-31 | Intel Corporation | Revocation distribution |
US20050033811A1 (en) * | 2003-08-07 | 2005-02-10 | International Business Machines Corporation | Collaborative email |
US20050066198A1 (en) * | 2003-09-02 | 2005-03-24 | Gelme Andrew A. | Controlling cooperation between objects in a distributed software environment |
US7389273B2 (en) * | 2003-09-25 | 2008-06-17 | Scott Andrew Irwin | System and method for federated rights management |
WO2005033892A2 (en) | 2003-10-03 | 2005-04-14 | Sony Electronics, Inc. | Rendering rights delegation system and method |
US7340447B2 (en) * | 2003-10-09 | 2008-03-04 | Oracle International Corporation | Partitioning data access requests |
US7930757B2 (en) | 2003-10-31 | 2011-04-19 | Adobe Systems Incorporated | Offline access in a document control system |
KR20050042694A (ko) | 2003-11-04 | 2005-05-10 | 한국전자통신연구원 | 보안토큰을 이용한 전자거래방법 및 그 시스템 |
US7546640B2 (en) | 2003-12-10 | 2009-06-09 | International Business Machines Corporation | Fine-grained authorization by authorization table associated with a resource |
US7546641B2 (en) * | 2004-02-13 | 2009-06-09 | Microsoft Corporation | Conditional access to digital rights management conversion |
US7496649B2 (en) * | 2004-02-20 | 2009-02-24 | Microsoft Corporation | Policy application across multiple nodes |
US7664828B2 (en) * | 2004-02-20 | 2010-02-16 | Microsoft Corporation | Invalid policy detection |
JP4750020B2 (ja) | 2004-03-30 | 2011-08-17 | インターナショナル・ビジネス・マシーンズ・コーポレーション | ユーザ認証のためのシステム、方法、およびプログラムならびに該プログラムを記録した記録媒体 |
US7823192B1 (en) * | 2004-04-01 | 2010-10-26 | Sprint Communications Company L.P. | Application-to-application security in enterprise security services |
JP2005309780A (ja) | 2004-04-21 | 2005-11-04 | Ntt Docomo Inc | Icカード及び権限委譲制御方法 |
US7559080B2 (en) * | 2004-05-04 | 2009-07-07 | Microsoft Corporation | Automatically generating security policies for web services |
JP2005332049A (ja) | 2004-05-18 | 2005-12-02 | Nippon Telegr & Teleph Corp <Ntt> | ポリシ変換方法、ポリシ移行方法およびポリシ評価方法 |
US20060005010A1 (en) * | 2004-06-16 | 2006-01-05 | Henrik Olsen | Identification and authentication system and method for a secure data exchange |
US20060005227A1 (en) * | 2004-07-01 | 2006-01-05 | Microsoft Corporation | Languages for expressing security policies |
US7533265B2 (en) * | 2004-07-14 | 2009-05-12 | Microsoft Corporation | Establishment of security context |
US20060048216A1 (en) | 2004-07-21 | 2006-03-02 | International Business Machines Corporation | Method and system for enabling federated user lifecycle management |
US7669226B2 (en) * | 2004-07-30 | 2010-02-23 | International Business Machines Corporation | Generic declarative authorization scheme for Java |
US7299171B2 (en) * | 2004-08-17 | 2007-11-20 | Contentguard Holdings, Inc. | Method and system for processing grammar-based legality expressions |
US7506364B2 (en) * | 2004-10-01 | 2009-03-17 | Microsoft Corporation | Integrated access authorization |
WO2006045402A1 (en) | 2004-10-26 | 2006-05-04 | Telecom Italia S.P.A. | Method and system for transparently authenticating a mobile user to access web services |
US20060106856A1 (en) * | 2004-11-04 | 2006-05-18 | International Business Machines Corporation | Method and system for dynamic transform and load of data from a data source defined by metadata into a data store defined by metadata |
US8135576B2 (en) | 2004-11-12 | 2012-03-13 | Oracle International Corporation | System for enterprise knowledge management and automation |
US20090126022A1 (en) * | 2004-11-25 | 2009-05-14 | Nec Corporation | Method and System for Generating Data for Security Assessment |
KR20060063348A (ko) | 2004-12-07 | 2006-06-12 | 한국전자통신연구원 | 인터넷에서 인증 assertion을 이용한 접속시간제어 방법 |
US7953979B2 (en) | 2004-12-15 | 2011-05-31 | Exostar Corporation | Systems and methods for enabling trust in a federated collaboration |
US7562382B2 (en) * | 2004-12-16 | 2009-07-14 | International Business Machines Corporation | Specializing support for a federation relationship |
US20060156391A1 (en) * | 2005-01-11 | 2006-07-13 | Joseph Salowey | Method and apparatus providing policy-based revocation of network security credentials |
JP2006221506A (ja) | 2005-02-14 | 2006-08-24 | Hitachi Software Eng Co Ltd | ユーザパスワード認証システムにおける権限委譲方法 |
US7500097B2 (en) | 2005-02-28 | 2009-03-03 | Microsoft Corporation | Extendable data-driven system and method for issuing certificates |
US20060225055A1 (en) * | 2005-03-03 | 2006-10-05 | Contentguard Holdings, Inc. | Method, system, and device for indexing and processing of expressions |
US20060200664A1 (en) | 2005-03-07 | 2006-09-07 | Dave Whitehead | System and method for securing information accessible using a plurality of software applications |
US7509489B2 (en) * | 2005-03-11 | 2009-03-24 | Microsoft Corporation | Format-agnostic system and method for issuing certificates |
US7770206B2 (en) * | 2005-03-11 | 2010-08-03 | Microsoft Corporation | Delegating right to access resource or the like in access management system |
US7774830B2 (en) * | 2005-03-14 | 2010-08-10 | Microsoft Corporation | Access control policy engine controlling access to resource based on any of multiple received types of security tokens |
US7631346B2 (en) | 2005-04-01 | 2009-12-08 | International Business Machines Corporation | Method and system for a runtime user account creation operation within a single-sign-on process in a federated computing environment |
US7584499B2 (en) * | 2005-04-08 | 2009-09-01 | Microsoft Corporation | Policy algebra and compatibility model |
US7702746B2 (en) * | 2005-04-21 | 2010-04-20 | International Business Machines Corporation | Web services response templates |
US7657746B2 (en) | 2005-04-22 | 2010-02-02 | Microsoft Corporation | Supporting statements for credential based access control |
US8245051B2 (en) | 2005-05-13 | 2012-08-14 | Microsoft Corporation | Extensible account authentication system |
US8555061B2 (en) | 2005-05-13 | 2013-10-08 | Microsoft Corporation | Transparent code |
US7614082B2 (en) * | 2005-06-29 | 2009-11-03 | Research In Motion Limited | System and method for privilege management and revocation |
US20070038609A1 (en) | 2005-08-11 | 2007-02-15 | William Wu | System and method of query paraphrasing |
US20070043607A1 (en) | 2005-08-22 | 2007-02-22 | Raytheon Company | Method to incorporate user feedback into planning with explanation |
US8056114B2 (en) * | 2005-08-23 | 2011-11-08 | The Boeing Company | Implementing access control policies across dissimilar access control platforms |
US7788499B2 (en) | 2005-12-19 | 2010-08-31 | Microsoft Corporation | Security tokens including displayable claims |
US7757280B2 (en) * | 2006-01-17 | 2010-07-13 | International Business Machines Corporation | Method and system for memory protection and security using credentials |
US7882539B2 (en) * | 2006-06-02 | 2011-02-01 | Microsoft Corporation | Abstracting security policy from, and transforming to, native representations of access check mechanisms |
US8024770B2 (en) * | 2006-06-21 | 2011-09-20 | Microsoft Corporation | Techniques for managing security contexts |
US20080066158A1 (en) * | 2006-09-08 | 2008-03-13 | Microsoft Corporation | Authorization Decisions with Principal Attributes |
US20080066169A1 (en) * | 2006-09-08 | 2008-03-13 | Microsoft Corporation | Fact Qualifiers in Security Scenarios |
US7814534B2 (en) * | 2006-09-08 | 2010-10-12 | Microsoft Corporation | Auditing authorization decisions |
US8060931B2 (en) | 2006-09-08 | 2011-11-15 | Microsoft Corporation | Security authorization queries |
US8201215B2 (en) * | 2006-09-08 | 2012-06-12 | Microsoft Corporation | Controlling the delegation of rights |
US8938783B2 (en) * | 2006-09-11 | 2015-01-20 | Microsoft Corporation | Security language expressions for logic resolution |
-
2006
- 2006-09-11 US US11/530,556 patent/US8656503B2/en active Active
-
2007
- 2007-09-10 CN CN2007800333296A patent/CN101512505B/zh active Active
- 2007-09-10 EP EP07842186.4A patent/EP2062150B1/en active Active
- 2007-09-10 KR KR1020097003573A patent/KR101448319B1/ko active IP Right Grant
- 2007-09-10 CA CA2658132A patent/CA2658132C/en not_active Expired - Fee Related
- 2007-09-10 CA CA 2884079 patent/CA2884079A1/en not_active Abandoned
- 2007-09-10 JP JP2009527617A patent/JP5145340B2/ja active Active
- 2007-09-10 WO PCT/US2007/078081 patent/WO2008033786A1/en active Application Filing
-
2009
- 2009-01-15 IL IL196524A patent/IL196524A/en active IP Right Grant
-
2013
- 2013-04-11 IL IL225701A patent/IL225701A/en active IP Right Grant
-
2014
- 2014-02-13 US US14/180,292 patent/US9282121B2/en active Active
Also Published As
Publication number | Publication date |
---|---|
US8656503B2 (en) | 2014-02-18 |
US20080066171A1 (en) | 2008-03-13 |
IL225701A (en) | 2015-02-26 |
EP2062150A4 (en) | 2012-02-15 |
CA2884079A1 (en) | 2008-03-20 |
IL225701A0 (en) | 2013-06-27 |
US20140165139A1 (en) | 2014-06-12 |
CA2658132A1 (en) | 2008-03-20 |
EP2062150A1 (en) | 2009-05-27 |
US9282121B2 (en) | 2016-03-08 |
IL196524A (en) | 2013-04-30 |
KR101448319B1 (ko) | 2014-10-07 |
CN101512505B (zh) | 2011-09-07 |
IL196524A0 (en) | 2009-11-18 |
EP2062150B1 (en) | 2017-10-25 |
WO2008033786A1 (en) | 2008-03-20 |
JP2010503129A (ja) | 2010-01-28 |
CN101512505A (zh) | 2009-08-19 |
CA2658132C (en) | 2016-01-05 |
KR20090055555A (ko) | 2009-06-02 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP5145340B2 (ja) | 論理分解を用いるセキュリティ言語変換 | |
US8938783B2 (en) | Security language expressions for logic resolution | |
JP5266229B2 (ja) | セキュリティ許可照会 | |
JP5535631B2 (ja) | 権利の委譲を制御すること | |
Becker et al. | SecPAL: Design and semantics of a decentralized authorization language | |
US7814534B2 (en) | Auditing authorization decisions | |
US20020087859A1 (en) | Trust management systems and methods | |
US8095969B2 (en) | Security assertion revocation | |
US20080065899A1 (en) | Variable Expressions in Security Assertions |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20100811 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20120124 |
|
A601 | Written request for extension of time |
Free format text: JAPANESE INTERMEDIATE CODE: A601 Effective date: 20120424 |
|
A602 | Written permission of extension of time |
Free format text: JAPANESE INTERMEDIATE CODE: A602 Effective date: 20120502 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20120524 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20120629 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20121001 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20121026 |
|
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20121126 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20151130 Year of fee payment: 3 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 5145340 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
S111 | Request for change of ownership or part of ownership |
Free format text: JAPANESE INTERMEDIATE CODE: R313113 |
|
R350 | Written notification of registration of transfer |
Free format text: JAPANESE INTERMEDIATE CODE: R350 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |