KR20080083131A - 사용자로부터의 객체 액세스 요청을 관리하기 위한 방법,컴퓨터 판독가능 매체, 및 액세스 마스크를 포함하는데이터 구조를 저장한 메모리 - Google Patents
사용자로부터의 객체 액세스 요청을 관리하기 위한 방법,컴퓨터 판독가능 매체, 및 액세스 마스크를 포함하는데이터 구조를 저장한 메모리 Download PDFInfo
- Publication number
- KR20080083131A KR20080083131A KR1020087016353A KR20087016353A KR20080083131A KR 20080083131 A KR20080083131 A KR 20080083131A KR 1020087016353 A KR1020087016353 A KR 1020087016353A KR 20087016353 A KR20087016353 A KR 20087016353A KR 20080083131 A KR20080083131 A KR 20080083131A
- Authority
- KR
- South Korea
- Prior art keywords
- access
- user
- server
- policy
- computer
- Prior art date
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F17/00—Digital computing or data processing equipment or methods, specially adapted for specific functions
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/62—Protecting access to data via a platform, e.g. using keys or access control rules
- G06F21/6218—Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/101—Access control lists [ACL]
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/21—Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/2141—Access rights, e.g. capability lists, access control lists, access tables, access matrices
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- General Engineering & Computer Science (AREA)
- Physics & Mathematics (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- General Physics & Mathematics (AREA)
- Databases & Information Systems (AREA)
- Software Systems (AREA)
- Health & Medical Sciences (AREA)
- Bioethics (AREA)
- General Health & Medical Sciences (AREA)
- Signal Processing (AREA)
- Computing Systems (AREA)
- Computer Networks & Wireless Communication (AREA)
- Data Mining & Analysis (AREA)
- Mathematical Physics (AREA)
- Storage Device Security (AREA)
Abstract
사용자로부터의 객체 액세스 요청을 관리하는 방법, 시스템, 및 장치를 포함하는 다양한 기술들의 구현예들이 있다. 일 구현예에서, 객체로의 액세스가 정책에 기초하여 사용자에게 거부 또는 허가되는지 여부에 대한 판정이 행해진다(단계 a). 객체로의 액세스가 정책에 의해 사용자에게 거부도 허가도 되지 않는 경우, 객체로의 액세스가 상기 객체에 대한 액세스 제어 리스트(ACL)에 의해 사용자에게 허가되는지 여부에 대한 판정이 행해진다(단계 b). 단계(a) 및 단계(b)에 의해 판정된 바와 같이, 사용자가 객체에의 액세스를 갖는지 여부에 대한 결론이 내려진다.
정책, 액세스 제어 리스트, 사용자 인증, 객체, 권한
Description
정보를 처리(handling)할 때에는, 정보의 특정한 부분이 소정의 허가된 사용자들(authorized users)에게만 액세스될 수 있도록, 정보의 특정한 부분에 대한 액세스(access)를 제한하는 것이 바람직할 때가 종종 있다. 정보를 물리적 문서(예컨대, 인쇄된 책 또는 원부(ledger))에 포함시킬 경우, 이들 문서는 자물쇠 및 문서 보관인(custodian) 등의 물리적 액세스 제어를 사용하여 보안(secured)될 수 있다. 하지만, 요즘 시대에는, 대량의 정보가 디지털 데이터의 형태로 저장된다. 디지털 데이터는 쉽게 생성, 수정, 복제, 전송(transport) 및 삭제될 수 있고, 이는 여러 위치(in a myriad of locations)에 존재하는 방대한 양의 디지털 데이터의 증식(proliferation)을 가져온다. 물리적 문서와 마찬가지로, 디지털 데이터의 일부에 대한 액세스를 제한하는 것이 종종 바람직하다. 하지만, 상당한 양의 디지털 데이터(the sheer amount of digital data) 및 디지털 데이터의 생성, 복제, 전송, 수정, 및 삭제의 용이함에 의해 디지털 데이터를 보안하는 것은 도전 과제가 된다.
디지털 데이터는 통상적으로 파일 구조에 저장될 수 있다. 파일 구조는, 디지털 데이터를 포함하는 객체(object)가 폴더에 저장될 수 있는 데이터 저장소의 계층적 시스템일 수 있다. 객체는 프로그램, 프로세스, 파일, 또는 이벤트일 수 있다. 객체는 또한 보안 기술자(a security descriptor)를 가질 수 있다. 폴더는 또한 다른 폴더에 저장될 수 있다. 객체 내의 디지털 데이터는 항목별로(in a per item manner) 액세스될 수 있다.
소정의 파일 구조(a given file structure)의 경우, 액세스 제어 리스트(ACL;access control list)가 객체 각각에 할당될 수 있고, 여기서 ACL은 컴퓨터의 사용자 각각이 소정의 객체에 대해 어떤 허가(permission) 또는 액세스 권한(right)을 가지는가를 컴퓨터의 운영 체제에게 나타내는 데이터 구조이다. ACL은 특정 사용자 또는 사용자 그룹이 판독, 기록, 또는 실행 허가(execute permissions) 등의 소정의 허가를 가지도록 규정할 수 있다. 따라서, 객체에 대한 요청에 응답하여, 객체의 ACL에 액세스하여 그 객체에 할당된 허가를 판정할 수 있다.
시스템 관리자는, 특정 객체의 액세스 요건에 기초하여 ACL에 정의된 디폴트 보안 허가를 변경할 수 있다. 수백, 수천, 또는 심지어 수백만 개의 객체가 존재할 수 있다는 것을 고려하면, 객체 각각의 ACL을 검토(reviewing)하는 프로세스는 비용이 엄청나게 많이 들고 지루할 수 있다.
또한, 그룹 네스팅(nesting of groups)은, 시스템 관리자가 적격의 사용자만이 허가를 갖도록 보장하는 것을 어렵게 한다. 예를 들어, ACL이 사용자 그룹의 엔트리(an entry for groups of users)를 포함하는 경우, 이 그룹 - 그룹 내의 그룹을 포함함 - 에 있는 모든 사람에게 허가가 부여된다. 따라서, 특정한 사용자 또는 사용자 그룹이 객체에 대한 허가를 갖도록 시스템 관리자가 보장하는 것은 어려울 수 있다.
[요약]
본원에는, 사용자로부터의 객체 액세스 요청을 관리하기 위한 다양한 기술들의 구현예들이 기술되어 있다. 일 구현예에서, 정책(policy)에 기초하여 사용자에 의한 객체로의 액세스가 거부되는지 또는 허가되는지의 여부에 관한 판정이 행해진다(단계 a). 정책에 의해 사용자에 의한 객체로의 액세스가 거부도 허가도 되지 않는 경우, 객체의 액세스 제어 리스트(ACL)에 의해 사용자에 의한 객체로의 액세스가 허가되는지의 여부에 대한 판정이 행해진다(단계 b). 그 후, 단계(a) 및 단계(b)에 의해 판정되는 바와 같이, 사용자가 객체에의 액세스를 갖는지의 여부에 대한 결론(conclusion)이 내려진다.
다른 구현예에서, 사용자에 의한 객체를 포함한 서버로의 액세스가 거부되는지 또는 허가되는지의 여부에 대한 판정이 행해진다.
다른 구현예에서, 서버는 가상 서버(virtual server)이다.
여전히 다른 구현예에서, 사용자에 의한 서버로의 액세스가 정책에 의해 거부되는 경우, ACL에 의해 사용자에 의한 객체로의 액세스가 허가되더라도, 사용자에 의한 객체로의 액세스가 거부된다.
또 다른 구현예에서, 사용자에 의한 서버로의 액세스가 정책에 의해 허가되는 경우, 사용자에 의한 객체로의 액세스가 ACL에 의해 허가되지 않았더라도, 객체로의 액세스가 사용자에게 허가된다.
다양한 기술의 구현예들은 또한 컴퓨터 실행가능 명령어들이 저장된 컴퓨터 판독가능 매체에 관한 것이며, 이 컴퓨터 실행가능 명령어들은 컴퓨터에 의해 실행될 때, 컴퓨터로 하여금 (a) 객체를 포함하는 서버에 대한 정책에 의해, 서버로의 사용자 액세스가 거부되는지 또는 허가되는지 여부를 판정하게 하고, (b) 정책에 의해, 서버로의 사용자 액세스가 거부도 허가도 되지 않는 경우, 객체의 액세스 제어 리스트에 의해, 객체로의 사용자 액세스가 허가되는지 여부를 판정하게 하고, (c) 단계(a) 및 단계(b)에 기초하여 객체로의 사용자 액세스를 허가 또는 거부하게 하는 것이다.
다양한 기술들의 구현예들은 또한 프로세서상에서 실행중인 애플리케이션 프로그램에 의한 액세스를 위해 데이터를 저장하는 메모리에 관한 것이다. 메모리는 그 내부에 데이터 구조가 저장되어 있다. 데이터 구조는 서버에 대한 액세스 마스크(access mask)를 포함한다. 액세스 마스크는 서버로의 액세스를 허가 또는 거부하기 위한 하나 이상의 허가를 규정한다.
청구된 본 발명은 기술된 단점 전부 또는 일부를 해결하는 구현예들에 제한되는 것이 아니다. 또한, 이 요약부는 하기 상세한 설명부에 더 기술될 개념들 중 일부를 간략화된 형태로 소개하기 위해 제공된다. 이 요약부는 청구된 본 발명의 주요 특징 또는 본질적 특징을 식별하기 위한 것이 아니며, 청구된 본 발명의 범위를 제한하는 데 사용되기 위한 것도 아니다.
도 1은 본원에 기술된 기술들이 통합 및 실시될 수 있는 네트워크 환경의 개략도를 나타낸다.
도 2는 본원에 기술된 기술들에 따른 하나 이상의 객체로의 액세스를 관리하기 위한 방법의 흐름도를 나타낸다.
도 3은 본원에 기술된 기술들의 다양한 구현예들이, 정책 액세스 마스크를 ACL 액세스 마스크와 병합(merging)함으로써, 유효한 허가 세트(an effective set of permissions)를 생성할 수 있는 방법의 흐름도를 나타낸다.
도 1은 본원에 기술된 기술들이 통합 및 실시될 수 있는 네트워크 환경(100)의 개략도를 나타낸다. 네트워크 환경(100)은 종래의 데스크톱 또는 서버 컴퓨터(5)를 포함할 수 있고, 종래의 데스크톱 또는 서버 컴퓨터(5)는 중앙 처리 장치(CPU)(15), 시스템 메모리(20) 및 시스템 메모리(20)를 CPU(10)에 연결시키는 시스템 버스(30)를 포함한다. 시스템 메모리(20)는 랜덤 액세스 메모리(RAM)(25) 및 판독 전용 메모리(ROM)(28)를 포함할 수 있다. 시동 중과 같은 때에, 컴퓨터 내의 구성요소들 사이의 정보 전송을 돕는 기본 루틴을 포함하는 기본 입/출력 시스템은 ROM(28)에 저장될 수 있다. 컴퓨팅 시스템(5)은 또한 운영 체제(45), 애플리케이션 프로그램, 및 기타 프로그램 모듈을 저장하기 위한 대용량 저장 장치(40;mass storage device)를 포함하고, 이는 하기에 보다 상세히 기술될 것이다.
본 기술분야에서 숙련자는, 본원에 기술된 기술들의 다양한 구현예들이 HTTP(Hypertext transfer protocol) 서버, 핸드-헬드 장치, 마이크로프로세서 시스 템, 마이크로프로세서 기반 또는 프로그램가능한 가전제품, 네트워크 PC, 미니컴퓨터, 메인프레임 컴퓨터, 기타 등등을 포함하는 기타 컴퓨터 시스템 구성에서 실시될 수 있음을 인식해야 한다. 본원에 기술된 다양한 기술들은 또한 예컨대, 배선에 의한 링크(hardwired link), 무선 링크, 또는 이들의 조합에 의해 통신 네트워크를 통하여 접속되어 있는 로컬 및 원격 처리 장치들에 의해 태스크가 수행되는 분산 컴퓨팅 환경에서 실시될 수 있다. 분산 컴퓨팅 환경에서, 프로그램 모듈은 로컬 및 원격 메모리 저장 장치 둘다에 위치할 수 있다.
대용량 저장 장치(40)는 시스템 버스(30) 및 대용량 저장 컨트롤러(a mass storage controller)(도시 생략)를 통해 CPU(10)에 접속될 수 있다. 대용량 저장 장치(40) 및 그 관련 컴퓨터 판독가능 매체는, 컴퓨터 시스템(5)을 위해 비휘발성 저장소를 제공하도록 구성된다. 본원에 포함된 컴퓨터 판독가능 매체에 대한 설명은 하드 디스크 또는 CD-ROM 드라이브 등의 대용량 저장 장치를 지칭하지만, 본 기술분야의 숙련자는 컴퓨터 판독가능 매체가 컴퓨팅 시스템(5)에 의해 액세스될 수 있는 모든 이용가능한 매체일 수 있음을 인식해야 한다. 예를 들어, 컴퓨터 판독가능 매체는 컴퓨터 저장 매체 및 통신 매체를 포함할 수 있다. 컴퓨터 저장 매체는 컴퓨터 판독가능 명령어, 데이터 구조, 프로그램 모듈 또는 기타 데이터와 같은 정보를 저장하는 임의의 방법 또는 기술로 구현되는 휘발성 및 비휘발성, 이동식 및 비이동식 매체를 포함한다. 컴퓨터 저장 매체는 또한 RAM, ROM, EPROM, EEPROM, 플래시 메모리 또는 기타 고상(solid state) 메모리 기술, CD-ROM, DVD(digital versatile disk) 또는 기타 광 저장 장치, 자기 카세트, 자기 테이프, 자기 디스크 저장 장치 또는 기타 자기 저장 장치, 또는 컴퓨팅 시스템(5)에 의해 액세스되고 원하는 정보를 저장할 수 있는 임의의 기타 매체를 포함하지만 이에 제한되는 것은 아니다.
간략하게 전술된 바와 같이, 대용량 저장 장치(40)는 네트워크화된 퍼스널 또는 서버 컴퓨터의 동작을 제어하는 데 적합한 운영 체제(45)를 포함할 수 있다. 운영 체제(45)는 Windows® XP, Mac OS® X, Linux® 및 BSD® 같은 유닛스-변형(Unix-variants), 기타 등등일 수 있다. 대용량 저장 장치(40)는 또한 사용자가 대용량 저장 장치(40) 내의 객체에 대해 권한을 가지는 것으로 결정하는 데 사용되는 하나 이상의 액세스 제어 리스트(ACL)(41)를 포함할 수 있다. 하나의 ACL만이 도 1에 도시되어 있지만, ACL(42)은 여러 개의 ACL를 나타낼 수 있으며, 각각의 ACL은 그 ACL과 연관된 객체에 대한 권한을 하나 이상의 사용자에게 부여한다. 객체는 통상적으로 항목(items) 또는 리소스(resource)로서 지칭될 수 있다. 객체는 프로그램, 프로세스, 파일, 이벤트 또는 보안 기술자(security descriptor)를 가진 다른 것일 수 있다. 각각의 ACL은 데이터 구조, 통상적으로 테이블(소정의 객체에 대한 사용자 또는 그룹 권한을 규정하는 액세스 제어 엔트리(ACE;access control entries)를 포함함)을 포함할 수 있다. 각각의 ACE는 사용자 또는 그룹의 보안 식별자와, 사용자 또는 그룹에게 어떠한 동작이 허용 또는 거부되는지를 규정하는 액세스 마스크를 포함한다. 액세스 마스크는 ACL의 ACE에서 허용 또는 거부되는 허가들을 규정하는 값을 포함할 수 있다.
간략하게 전술된 바와 같이, 대용량 저장 장치(40)는 프로그램 모듈을 포함 할 수 있다. 프로그램 모듈은 일반적으로 루틴, 프로그램, 컴포넌트, 데이터 구조 및 특정 태스크를 수행하거나 또는 특정 추상 데이터 유형을 구현하는 기타 유형의 구조를 포함한다. 통상적으로, 프로그램 모듈의 기능은 다양한 구현예에서 소망에 따라 결합 또는 분산될 수 있다.
일 구현예에서, 대용량 저장 장치(40)는 인증 모듈(44;authentication module) 및 허가 모듈(46;authorization module)을 포함한다. 인증 모듈(44)은 사용자의 ID(identity)를 검증하도록 구성된다. 예를 들어, 사용자는 다수의 보안 식별자(SID)(security identifier)에 의해 식별되며, 각각의 SID는 사용자를 식별하거나, 사용자가 구성원인 다양한 그룹을 식별하는 가변 길이의 데이터 구조이다. 이처럼, 인증 모듈(44)은 SID와 비교될 정보를 가진 인증 정보의 데이터베이스에 액세스할 수 있다. 인증 정보 데이터베이스(도시 생략)는 대용량 저장 장치(40)에 저장될 수 있다. 본원에 기술된 기술들의 다양한 구현예들은 SID의 사용에 제한되는 것이 아니며, 즉 사용자의 ID는 패스워드, 인증서, 생체인식(biometrics) 등의 다른 유형의 식별자를 사용하여 식별될 수 있다. 인증 프로세스는 사용자의 컴퓨터 시스템의 Kerebos 클라이언트가 관리자 도메인의 Kerebos 서버에 사용자명 및 패스워드를 제공하는 Kerebos 인증 기술과 같은 표준 인증 기술을 포함하는 임의의 인증 기술일 수 있다. Kerebos 서버는 사용자명 및 패스워드를 검증하고, 사용자가 요청된 컴퓨터 시스템에 대한 허용된-인증 액세스 권한(the allowed-to-authenticate access rights)을 가진다는 것을 보장하고, 그러한 경우 "티겟"을 사용자에게 제공한다. 그 티켓은, 사용자가 컴퓨터 시스템의 객체에 액세스를 시도 할 때마다 사용되며, 컴퓨터 시스템에 대하여 티겟이 인증된다. 티겟이 유효하면, 객체로의 액세스가, 객체의 ACL, 및 객체를 포함하는 시스템의 정책에 따라 결정 및 허가될 수 있다. 티겟이 유효하지 않으면, 액세스가 거부된다. 이런 결정 및 허가 프로세스는 하기의 단락에 보다 상세히 기술될 것이다. 일 구현예에서, 일단 사용자의 ID가 인증되면, 사용자의 객체로의 액세스 권한이 허가 모듈(46)에 의해 결정될 수 있으며, 이는 또한 하기의 단락에 보다 상세히 기술될 것이다.
인증 모듈(44) 또는 허가 모듈(46) 중 어느 하나, 혹은 둘 다는 일반적으로 요청 시에(on demand) 로드(load)되어 런 타임 시에 링크된 후, 코드가 더 이상 필요하지 않을 때 언로드(unload)될 수 있는 실행가능 코드 모듈로서 정의되는 DLL(dynamic link library), 동적 공유 객체(dynamic shared objects), 기타 등등의 임의 유형의 프로그램가능한 코드일 수 있다.
도 1에 도시된 바와 같이, 컴퓨팅 시스템(5)은 인터넷, 인트라넷, 또는 익스트라넷 등의 네트워크(50)를 통하여 원격 컴퓨터로의 논리적 접속을 사용하여 네트워크화된 환경(100)에서 동작할 수 있다. 컴퓨팅 시스템(5)은 시스템 버스(30)에 접속된 네트워크 인터페이스 유닛(60)을 통하여 네트워크(50)에 접속할 수 있다. 네트워크 인터페이스 유닛(60)은 또한 다른 유형의 네트워크 및 원격 컴퓨터 시스템에 접속하는 데 사용될 수 있다. 컴퓨팅 시스템(5)은 또한 키보드, 마우스, 또는 전자 스타일러스(electronic stylus)(도시 생략)를 포함한 다수의 기타 장치로부터의 입력을 수신 및 처리하기 위한 입력/출력 컨트롤러(70)를 포함할 수 있다. 입/출력 컨트롤러(70)는 또한 디스플레이 스크린, 프린터, 또는 기타 유형의 출력 장치로 출력을 제공할 수 있다.
일 구현예에서, 컴퓨팅 시스템(5)은, 정책(90)을 포함하는 중앙 구성 저장소(80;central configuration store)에 연결되어 있다. 정책(90)은 컴퓨터 시스템(5)의 도처에 적용될 수 있는 보안 보호 세트(a set of security protections)를 포함한다. 이처럼, 정책(90)은 ACE 세트를 포함할 수 있고, ACE 각각은 사용자 또는 그룹의 보안 식별자, 및 어떤 동작이 사용자 또는 그룹에게 거부 또는 허가되는지를 규정하는 액세스 마스크를 포함할 수 있다. 일 구현예에서, 정책은 컴퓨터 시스템(5)에의 액세스를 가질 수 있는 소정의 사용자 및/또는 그룹 세트(a predetermined set of users and/or groups)에 대한 허가 액세스 마스크 세트 및 거부 액세스 마스크 세트를 포함할 수 있다. 정책에서 권한을 부여하는 것은, 그 객체의 ACL에 의해 거부되는 허가들에 관계없이, 시스템(5) 내의 모든 보안된 객체에 대한 권한을 사용자 또는 그룹에게 부여하는 것이다. 마찬가지로, 정책에서 권한을 거부하는 것은, 시스템(5) 내의 모든 보안된 객체에 대한 권한을 사용자 또는 그룹에 대하여 차단하는 것이다. 다양한 기술들의 구현예들이 마스크를 사용하는 것에 관련하여 기술되었지만, 논리적 사용자 역할(logical user roles)을 사용하는 기술들과 같이, 마스크와 유사한 기타 기술들이 다른 구현예들에서 사용될 수 있음을 인식해야 한다.
일 구현예에서, 정책은 가상 서버의 도처에 적용될 수 있고, 가상 서버는 예컨대, HTTP(hypertext transfer protocol) 서버 등의 서버에 상주하는 가상 컴퓨터로서 정의될 수 있지만, 사용자에게는 별도의 서버로서 보인다. 여러 개의 가상 서버가 하나의 컴퓨터에 상주할 수 있고, 각각은 그 자신의 프로그램을 실행시킬 수 있고, 각각은 입력 및 주변 장치들로의 개별화된 액세스를 가진다. 가상 서버 각각은 그 자신의 도메인명 및 IP 주소를 가질 수 있다. 다양한 구현예들이 컴퓨터 시스템(5) 또는 가상 서버와 관련하여 본원에 기술되어 있지만, 다른 구현예들이 사이트 집합체(a site collection), 특정 사이트, 사이트 또는 특정 항목 내의 라이브러리 또는 문서에 적용될 수 있다. 이처럼, 허가 모듈(46)의 기능을 포함하는, 본원에 기술된 다양한 기술들의 구현예들이, 컴퓨터 시스템(5) 내에서 임의의 레벨의 세분성(granularity)으로 적용될 수 있다.
정책(90)은 중앙 관리자에 의해 관리될 수 있고, 반면에 ACL(42)은 사이트 관리자에 의해 관리될 수 있다. 일 구현예에서, 중앙 관리자는 ACL(42)에 액세스하는 것이 금지될 수 있으며, 반면에 사이트 관리자는 정책(90)에 액세스하는 것이 금지될 수 있다. 따라서, 본원에 기술된 다양한 기술들의 구현예들은, 컴퓨터 시스템(50)의 도처에 균일한 보안 정책을 시행하는 방법을, 중앙 관리자에게 제공한다. 본원에 기술된 다양한 기술들의 구현예들은, 또한 어떤 사람이 시스템(5)에의 액세스를 갖고, 어떤 사람이 시스템(5)에의 액세스를 갖지 않을지를 제어하는 기능(ability)을 유지하는 동시에, 날짜별(day-to-day) 보안 관리를 사이트 관리자에게 위임(delegate)하는 방법을, 중앙 관리자에게 제공한다.
도 2는 본원에 기술된 다양한 구현예들에 따라, 하나 이상의 객체로의 액세스를 관리하기 위한 방법(200)의 흐름도를 나타낸다. 단계(210)에서, 인증 모듈(44)은 사용자로부터의 객체 액세스 요청을 수신한다. 요청을 수신하면, 사용자 의 ID가 인증된다(단계(220)). 사용자의 ID는 패스워드, 인증서, 생체인식, 기타 등등을 이용하는 것을 비롯한 임의의 유형의 인증 프로세스에 의해 인증될 수 있다. 일 구현예에서, 인증 모듈(44)은 사용자와 연관된 SID 전부를 검토 및 인증한다(단계(220)). 일단 사용자의 SID가 인증되면, 객체에 액세스하기 위한 사용자의 권한이 허가 모듈(46)에 의해 결정될 수 있다. 사용자의 권한은 판독(read), 삽입(insert), 갱신(update), 삭제(delete), 기타 등등으로 다양할 수 있다.
단계(230)에서, 요청된 객체를 포함하는 컴퓨터 시스템(50)의 정책에 사용자의 SID 중 임의의 것이 규정되어 있는지 여부에 대한 판정이 행해진다. 일 구현예에서, 사용자에게 컴퓨터 시스템(5)에의 액세스 권한이 정책에 의해 제공되는지 여부에 대한 판정이 행해진다. 다른 구현예에서, 객체를 포함하는 가상 서버와 관련하여 판정이 행해진다. 정책이 존재하지 않는 경우, 처리는 단계(280)로 진행하고, 여기서 사용자의 SID 중 임의의 것에 권한이 객체의 ACL에 의해 부여되는지 여부에 대한 판정이 행해진다.
정책이 존재하면, 처리는 단계(240)로 진행하고, 여기서 시스템 컴퓨터(5)에 액세스하는 사용자의 SID 권한 중 임의의 것이 정책에 의해 거부되는지 여부에 대한 판정이 행해진다. 시스템 컴퓨터(5)에 액세스하는 사용자의 SID 권한 중 임의의 것이 정책에 의해 거부되면, 요청된 객체로의 사용자 액세스가 거부된다(단계(250)). 컴퓨터 시스템(5)에 액세스하는 사용자의 SID 권한 중 임의의 것이 정책에 의해 거부되지 않으면, 처리는 단계(260)로 진행하고, 여기서 컴퓨터 시스템(5)에 액세스하는 사용자 SID 권한 중 임의의 것이 정책에 의해 부여되는지 여부 에 대한 판정이 행해진다. 컴퓨터 시스템(5)에 액세스하는 사용자 SID 권한 중 임의의 것이 정책에 의해 부여되는 경우, 요청된 객체로의 액세스가 사용자에게 허가된다(단계(270)).
한편, 객체에 액세스하는 사용자의 SID 권한 중 임의의 것이 정책에 의해 거부도 허가도 되지 않는 경우, 처리는 단계(280)로 진행하고, 여기서 객체에 액세스하는 사용자의 SID 권한 중 임의의 것이 객체의 ACL에 의해 허가되는지 여부에 대한 판정이 행해진다. 객체에 액세스하는 사용자의 SID 권한 중 임의의 것이 ACL에 의해 허가되는 경우, 요청된 객체로의 액세스가 사용자에게 허가된다. 하지만, ACL 내에 사용자의 SID 중 임의의 것에 대한 어떠한 ACE도 존재하지 않으면, 요청된 객체로의 액세스가 사용자에게 거부된다(단계(290)).
이런 방식으로, 컴퓨터 시스템(50)에 액세스하는 권한이 정책에 의해 사용자에게 거부되면, 객체에 액세스하는 권한이 ACL에 의해 사용자에게 부여되는지 여부에 관계없이, 컴퓨터 시스템(50)에 포함된 객체에 액세스하는 권한들이 사용자에게 거부된다. 마찬가지로, 컴퓨터 시스템(50)에 액세스하는 권한들이 정책에 의해 사용자에게 부여되면, 객체에 액세스하는 권한들이 ACL에 의해 사용자에게 부여되는지 여부에 관계없이, 객체에 액세스하는 권한들이 사용자에게 부여된다. 컴퓨터 시스템(5)에 대한 대안으로서, 본원에 기술된 기술들의 다양한 구현예들이 또한 객체를 포함한 가상 서버에 적용될 수 있다.
일 구현예에서, 런 타임 시에(at run time), 정책에 의해 정의된 액세스 마스크는 ACL에 의해 정의된 액세스 마스크와 병합되어, 사용자를 위한 유효한 허가 세트를 생성할 수 있다. 도 3은 본원에 기술된 기술들의 다양한 구현예들이, 객체를 포함하는 시스템의 정책 액세스 마스크를 그 객체의 사용자 액세스 마스크(320) 및 그 객체의 그룹 액세스 마스크(330)와 병합함으로써, 유효한 허가 세트를 생성할 수 있는 방법의 흐름도(300)를 나타낸다. 흐름도(300)에 대한 이하의 설명은 도 2의 방법(200)과 관련하여 기술된다. 하지만, 흐름도(300)에 도시된 동작들이 반드시 방법(200)에 의해 수행되는 것에 제한되는 것이 아님을 이해해야 한다. 또한, 동작 흐름도(300)가 동작의 특정한 실행 순서를 나타내지만, 다른 구현예에서 동작은 다른 순서로 실행될 수 있음을 이해해야 한다.
정책 액세스 마스크(310)는 특정 사용자 또는 그룹이 객체에 대한 특정한 권한을 가지는지의 여부를 규정한다. 이들 권한은 판독(READ), 삽입(INSERT), 갱신(UPDATE), 삭제(DELETE), 기타(ETC) 권한을 포함할 수 있다. 기타(ETC) 권한은 항목 보기(VIEW ITEM), 항목 열기(OPEN ITEM), 항목 승인(APPROVE ITEM), 리스트 설계(DESIGN LISTS), 서브웹 생성(CREATE SUBWEBS), 버전 이력 보기(VIEW VERSION HISTORY), 버전 삭제(DELETE VERSIONS), 허가 관리(MANAGE PERMISSIONS) 등의 다른 권한을 나타낼 수 있다. 일 구현예에서, 정책 액세스 마스크(310)는 컬럼 G 아래의 체크 마크(check mark)에 의해 표시된 바와 같이, 부여된 권한 세트, 및 컬럼 D 아래의 체크 마크에 의해 표시된 바와 같이, 거부된 권한 세트를 규정할 수 있다. 도 3에 도시된 바와 같이, 판독(READ) 권한은 부여된 것으로 표시되고, 삭제(DELETE) 권한은 거부된 것으로 표시되고, 기타(ETC) 권한은 부여된 것으로 표시된다. 정책 액세스 마스크(310)는 삽입(INSERT) 및 갱신(UPDATE) 권한에 관련되어 표시되어 있지 않다.
사용자 액세스 마스크(320)는 허가된 권한만을 규정한다. 이런 특정 예에서, 판독(READ) 권한 및 삽입(INSERT) 권한만이, 컬럼 G 아래의 체크 마크에 의해 표시된 바와 같이, 부여된다. 사용자 액세스 마스크(320)처럼, 그룹 액세스 마스크(330)도 허가된 이러한 권한들만을 규정한다. 이런 특정 예에서는, 판독(READ) 권한, 갱신(UPDATE) 권한, 및 삭제(DELETE) 권한만이, 컬럼 G 아래의 체크 마크에 의해 표시된 바와 같이, 부여된다.
런 타임 시에, 정책 액세스 마스크(310)는 사용자 액세스 마스크(320) 및 그룹 액세스 마스크(330)와 병합되어 사용자를 위한 유효한 허가 세트(340)를 생성한다. 병합 동작 후에, 유효한 허가 세트(340)는, 정책 액세스 마스크(310) 및 사용자 액세스 마스크(320)에 의해 규정된 바와 같이, 판독(READ) 권한이 부여되는 것을 나타낸다. 삽입(INSERT) 권한이 또한, 사용자 액세스 마스크(320)에 의해 규정된 바와 같이, 부여되었다. 갱신(UPDATE) 권한이 또한, 그룹 액세스 마스크(330)에 의해 규정된 바와 같이, 부여되었다. 하지만, 삭제(DELETE) 권한은, 비록 그것이 그룹 액세스 마스크(330)에 의해 부여되었다 하더라도, 정책 액세스 마스크(310)에 의해 규정된 바와 같이, 거부된다. 마찬가지로, 기타(ETC) 권한은, 사용자 액세스 마스크(320)와 그룹 액세스 마스크(330)가 기타(ETC) 권한에의 액세스를 허가하지 않더라도, 정책 액세스 마스크(310)에 의해 규정된 바와 같이, 부여되었다.
본 발명은 구조적인 특징 및/또는 방법론적인 동작들에 특정한 언어로 기술 되었지만, 첨부된 청구항들에 정의된 본 발명이 반드시 전술된 특정한 특징 또는 동작에 제한되는 것이 아님을 이해해야 한다. 오히려, 전술된 특정한 특징 및 동작은 청구항들을 구현하는 예시적 형태로서 개시되어 있다.
Claims (20)
- 사용자로부터의 객체 액세스 요청을 관리하기 위한 방법으로서,(a) 정책(policy)에 기초하여 상기 사용자에 의한 상기 객체로의 액세스가 거부되는지 또는 허가되는지의 여부를 판정하는 단계;(b) 상기 정책에 의해 상기 사용자에 의한 상기 객체로의 액세스가 거부도 허가도 되지 않는 경우, 상기 객체의 액세스 제어 리스트(ACL)(access control list)에 의해 상기 사용자에 의한 상기 객체로의 액세스가 허가되는지 여부를 판정하는 단계; 및(c) 상기 단계(a) 및 단계(b)에 의해 판정된 바와 같이, 상기 사용자가 상기 객체에의 액세스를 갖는지의 여부를 결론(concluding) 내리는 단계를 포함하는, 사용자로부터의 객체 액세스 요청을 관리하기 위한 방법.
- 제1항에 있어서,상기 단계(a)는 상기 사용자에 의한 상기 객체를 포함한 서버로의 액세스가 거부되는지 또는 허가되는지 여부를 판정하는 단계를 포함하는 방법.
- 제2항에 있어서,상기 서버는 가상 서버(a virtual server)인 방법.
- 제2항에 있어서,상기 서버는 HTTP(a hypertext transfer protocol) 서버인 방법.
- 제2항에 있어서,상기 사용자에 의한 상기 서버로의 액세스가 상기 정책에 의해 거부되는 경우, 상기 객체로의 사용자 액세스를 거부하는 단계를 더 포함하는 방법.
- 제5항에 있어서,상기 사용자에 의한 상기 객체로의 액세스가 상기 ACL에 의해 허가되더라도, 상기 사용자에 의한 상기 객체로의 액세스가 거부되는 방법.
- 제2항에 있어서,상기 사용자에 의한 상기 서버로의 액세스가 상기 정책에 의해 허가되는 경우, 상기 객체로의 사용자 액세스를 허가하는 단계를 더 포함하는 방법.
- 제7항에 있어서,상기 사용자에 의한 상기 객체로의 액세스가 상기 ACL에 의해 허가되지 않았더라도, 상기 사용자에 의한 상기 객체로의 액세스가 허가되는 방법.
- 컴퓨터 실행가능 명령어들이 저장된 컴퓨터 판독가능 매체로서, 상기 컴퓨터 실행가능 명령어들은, 컴퓨터에 의해 실행될 때, 상기 컴퓨터로 하여금,(a) 객체를 포함하는 서버에 대한 정책에 의해, 상기 서버로의 사용자 액세스가 거부되는지 또는 허가되는지 여부를 판정하게 하고,(b) 상기 정책에 의해, 상기 서버로의 사용자 액세스가 거부도 허가도 되지 않는 경우, 상기 객체의 액세스 제어 리스트(ACL)에 의해 상기 객체로의 사용자 액세스가 허가되는지 여부를 판정하게 하고,(b) 단계(a) 및 단계(b)에 기초하여 상기 객체로의 사용자 액세스를 거부 또는 허가하게 하는 것인, 컴퓨터 판독가능 매체.
- 제9항에 있어서,컴퓨터에 의해 실행될 때, 상기 컴퓨터로 하여금,상기 정책에 의해 상기 서버로의 사용자 액세스가 거부되는 경우, 상기 객체로의 사용자 액세스를 거부하게 하는 컴퓨터 판독가능 명령어들을 더 포함하는 컴퓨터 판독가능 매체.
- 제9항에 있어서,컴퓨터에 의해 실행될 때, 상기 컴퓨터로 하여금,상기 정책에 의해 상기 서버로의 사용자 액세스가 허가되는 경우, 상기 객체로의 사용자 액세스를 허가하게 하는 컴퓨터 판독가능 명령어들을 더 포함하는 컴퓨터 판독가능 매체.
- 제9항에 있어서,상기 서버는 가상 서버인 컴퓨터 판독가능 매체.
- 제9항에 있어서,상기 서버는 HTTP 서버인 컴퓨터 판독가능 매체.
- 프로세서상에서 실행중인 애플리케이션 프로그램에 의한 액세스를 위해 데이터를 저장하는 메모리로서, 상기 메모리는 그 내부에 데이터 구조가 저장되어 있고, 상기 데이터 구조는 서버에 대한 액세스 마스크를 포함하며, 상기 액세스 마스크는 상기 서버로의 액세스를 허가 또는 거부하는 것 중 적어도 하나에 대한 하나 이상의 허가(permission)를 규정하는 메모리.
- 제14항에 있어서,상기 서버는 HTTP 서버상에 상주하는 가상 서버인 메모리.
- 제14항에 있어서,상기 서버는 HTTP 서버인 메모리.
- 제14항에 있어서,상기 액세스 마스크는 상기 서버로의 액세스가 허가되는 소정의 사용자 세트를 규정하기 위한 허가 액세스 마스크 세트를 포함하는 메모리.
- 제14항에 있어서,상기 액세스 마스크는 상기 서버로의 액세스가 거부되는 소정의 사용자 세트를 규정하기 위한 거부 액세스 마스크 세트를 포함하는 메모리.
- 제14항에 있어서,상기 데이터 구조는 상기 서버 내에 포함된 객체의 액세스 제어 리스트를 더 포함하는 메모리.
- 제19항에 있어서,상기 액세스 제어 리스트는 상기 객체로의 액세스가 허가되는 소정의 사용자 세트를 규정하기 위한 허가 액세스 마스크 세트를 포함하는 메모리.
Applications Claiming Priority (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
US11/325,930 | 2006-01-05 | ||
US11/325,930 US20070156691A1 (en) | 2006-01-05 | 2006-01-05 | Management of user access to objects |
Publications (1)
Publication Number | Publication Date |
---|---|
KR20080083131A true KR20080083131A (ko) | 2008-09-16 |
Family
ID=38225843
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
KR1020087016353A KR20080083131A (ko) | 2006-01-05 | 2007-01-04 | 사용자로부터의 객체 액세스 요청을 관리하기 위한 방법,컴퓨터 판독가능 매체, 및 액세스 마스크를 포함하는데이터 구조를 저장한 메모리 |
Country Status (7)
Country | Link |
---|---|
US (1) | US20070156691A1 (ko) |
EP (1) | EP1974311A4 (ko) |
JP (1) | JP2009522694A (ko) |
KR (1) | KR20080083131A (ko) |
CN (1) | CN101366040B (ko) |
RU (1) | RU2430413C2 (ko) |
WO (1) | WO2007081785A1 (ko) |
Families Citing this family (27)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
NO326590B1 (no) * | 2007-04-16 | 2009-01-19 | Kubekit As | Fremgangsmate og anordning for verifikasjon av informasjonstilgang i IKT-system med flere sikkerhetsdimensjoner og sikkerhetsniva. |
US20090157686A1 (en) * | 2007-12-13 | 2009-06-18 | Oracle International Corporation | Method and apparatus for efficiently caching a system-wide access control list |
US9172707B2 (en) * | 2007-12-19 | 2015-10-27 | Microsoft Technology Licensing, Llc | Reducing cross-site scripting attacks by segregating HTTP resources by subdomain |
US9047485B2 (en) * | 2008-03-12 | 2015-06-02 | International Business Machines Corporation | Integrated masking for viewing of data |
EP2304578A4 (en) * | 2008-06-13 | 2012-08-29 | Hewlett Packard Development Co | HIERARCHICAL POLICY MANAGEMENT |
US8990896B2 (en) * | 2008-06-24 | 2015-03-24 | Microsoft Technology Licensing, Llc | Extensible mechanism for securing objects using claims |
FR2934392B1 (fr) * | 2008-07-22 | 2010-08-13 | Jean Patrice Glafkides | Procede pour gerer des objets accessibles a des utilisateurs et dispositif informatique implique par la mise en oeuvre du procede |
US8689289B2 (en) * | 2008-10-02 | 2014-04-01 | Microsoft Corporation | Global object access auditing |
US8108406B2 (en) * | 2008-12-30 | 2012-01-31 | Expanse Networks, Inc. | Pangenetic web user behavior prediction system |
US8654659B2 (en) * | 2009-12-23 | 2014-02-18 | Citrix Systems, Inc. | Systems and methods for listening policies for virtual servers of appliance |
US8689004B2 (en) | 2010-11-05 | 2014-04-01 | Microsoft Corporation | Pluggable claim providers |
EP2466853B1 (en) * | 2010-12-17 | 2014-10-08 | Alcatel Lucent | Control of connection between devices for controlling the initiation, routing and security of connections between devices |
US8429191B2 (en) * | 2011-01-14 | 2013-04-23 | International Business Machines Corporation | Domain based isolation of objects |
US8983985B2 (en) | 2011-01-28 | 2015-03-17 | International Business Machines Corporation | Masking sensitive data of table columns retrieved from a database |
US8930410B2 (en) | 2011-10-03 | 2015-01-06 | International Business Machines Corporation | Query transformation for masking data within database objects |
US8898593B2 (en) * | 2011-10-05 | 2014-11-25 | Microsoft Corporation | Identification of sharing level |
US9329784B2 (en) * | 2011-10-13 | 2016-05-03 | Microsoft Technology Licensing, Llc | Managing policies using a staging policy and a derived production policy |
US9189643B2 (en) | 2012-11-26 | 2015-11-17 | International Business Machines Corporation | Client based resource isolation with domains |
US9838424B2 (en) | 2014-03-20 | 2017-12-05 | Microsoft Technology Licensing, Llc | Techniques to provide network security through just-in-time provisioned accounts |
US9836596B2 (en) * | 2015-07-08 | 2017-12-05 | Google Inc. | Methods and systems for controlling permission requests for applications on a computing device |
RU2659743C1 (ru) * | 2017-02-08 | 2018-07-03 | Акционерное общество "Лаборатория Касперского" | Система и способ контроля доступа на основе ACL |
CN108628879B (zh) * | 2017-03-19 | 2023-04-07 | 上海格尔安全科技有限公司 | 一种带优先级策略的访问控制构造的检索方法 |
US10757128B2 (en) | 2017-06-29 | 2020-08-25 | Amazon Technologies, Inc. | Security policy analyzer service and satisfiability engine |
US10630695B2 (en) | 2017-06-29 | 2020-04-21 | Amazon Technologies, Inc. | Security policy monitoring service |
US10922423B1 (en) * | 2018-06-21 | 2021-02-16 | Amazon Technologies, Inc. | Request context generator for security policy validation service |
US11483317B1 (en) | 2018-11-30 | 2022-10-25 | Amazon Technologies, Inc. | Techniques for analyzing security in computing environments with privilege escalation |
US11627126B2 (en) * | 2020-08-20 | 2023-04-11 | Bank Of America Corporation | Expedited authorization and access management |
Family Cites Families (20)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JPH087709B2 (ja) * | 1989-05-15 | 1996-01-29 | インターナシヨナル・ビジネス・マシーンズ・コーポレーシヨン | アクセス特権制御方法及びシステム |
JPH0771094B2 (ja) * | 1989-05-19 | 1995-07-31 | オムロン株式会社 | 通信ネットワークシステム |
US5187790A (en) * | 1989-06-29 | 1993-02-16 | Digital Equipment Corporation | Server impersonation of client processes in an object based computer operating system |
US5787427A (en) * | 1996-01-03 | 1998-07-28 | International Business Machines Corporation | Information handling system, method, and article of manufacture for efficient object security processing by grouping objects sharing common control access policies |
FR2745967B1 (fr) * | 1996-03-07 | 1998-04-17 | Bull Cp8 | Procede de securisation des acces d'une station a au moins un serveur et dispositif mettant en oeuvre le procede |
US5991879A (en) * | 1997-10-23 | 1999-11-23 | Bull Hn Information Systems Inc. | Method for gradual deployment of user-access security within a data processing system |
US6119153A (en) * | 1998-04-27 | 2000-09-12 | Microsoft Corporation | Accessing content via installable data sources |
US6832120B1 (en) * | 1998-05-15 | 2004-12-14 | Tridium, Inc. | System and methods for object-oriented control of diverse electromechanical systems using a computer network |
US6182142B1 (en) * | 1998-07-10 | 2001-01-30 | Encommerce, Inc. | Distributed access management of information resources |
WO2000004483A2 (en) * | 1998-07-15 | 2000-01-27 | Imation Corp. | Hierarchical data storage management |
US6785810B1 (en) * | 1999-08-31 | 2004-08-31 | Espoc, Inc. | System and method for providing secure transmission, search, and storage of data |
US6606659B1 (en) * | 2000-01-28 | 2003-08-12 | Websense, Inc. | System and method for controlling access to internet sites |
US6883101B1 (en) * | 2000-02-08 | 2005-04-19 | Harris Corporation | System and method for assessing the security posture of a network using goal oriented fuzzy logic decision rules |
US7096502B1 (en) * | 2000-02-08 | 2006-08-22 | Harris Corporation | System and method for assessing the security posture of a network |
US7260718B2 (en) * | 2001-04-26 | 2007-08-21 | International Business Machines Corporation | Method for adding external security to file system resources through symbolic link references |
US20020184516A1 (en) * | 2001-05-29 | 2002-12-05 | Hale Douglas Lavell | Virtual object access control mediator |
US7401235B2 (en) * | 2002-05-10 | 2008-07-15 | Microsoft Corporation | Persistent authorization context based on external authentication |
CN100437550C (zh) * | 2002-09-24 | 2008-11-26 | 武汉邮电科学研究院 | 一种以太网认证接入的方法 |
US7243105B2 (en) * | 2002-12-31 | 2007-07-10 | British Telecommunications Public Limited Company | Method and apparatus for automatic updating of user profiles |
JP4368184B2 (ja) * | 2003-11-19 | 2009-11-18 | 株式会社日立製作所 | ブラックリストによる緊急アクセス遮断装置 |
-
2006
- 2006-01-05 US US11/325,930 patent/US20070156691A1/en not_active Abandoned
-
2007
- 2007-01-04 KR KR1020087016353A patent/KR20080083131A/ko not_active Application Discontinuation
- 2007-01-04 RU RU2008127360/08A patent/RU2430413C2/ru not_active IP Right Cessation
- 2007-01-04 JP JP2008549568A patent/JP2009522694A/ja active Pending
- 2007-01-04 WO PCT/US2007/000247 patent/WO2007081785A1/en active Application Filing
- 2007-01-04 CN CN2007800019129A patent/CN101366040B/zh not_active Expired - Fee Related
- 2007-01-04 EP EP07717902A patent/EP1974311A4/en not_active Ceased
Also Published As
Publication number | Publication date |
---|---|
EP1974311A1 (en) | 2008-10-01 |
CN101366040B (zh) | 2010-12-01 |
RU2430413C2 (ru) | 2011-09-27 |
JP2009522694A (ja) | 2009-06-11 |
EP1974311A4 (en) | 2010-04-07 |
RU2008127360A (ru) | 2010-01-10 |
CN101366040A (zh) | 2009-02-11 |
WO2007081785A1 (en) | 2007-07-19 |
US20070156691A1 (en) | 2007-07-05 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
KR20080083131A (ko) | 사용자로부터의 객체 액세스 요청을 관리하기 위한 방법,컴퓨터 판독가능 매체, 및 액세스 마스크를 포함하는데이터 구조를 저장한 메모리 | |
US8984291B2 (en) | Access to a computing environment by computing devices | |
JP4414092B2 (ja) | 制限付きトークンを介した最小権限 | |
CN105917309B (zh) | 确定第一租户关于第二租户的许可 | |
US8646044B2 (en) | Mandatory integrity control | |
Mon et al. | The privacy-aware access control system using attribute-and role-based access control in private cloud | |
US7546640B2 (en) | Fine-grained authorization by authorization table associated with a resource | |
US7979465B2 (en) | Data protection method, authentication method, and program therefor | |
US8307406B1 (en) | Database application security | |
US20060193467A1 (en) | Access control in a computer system | |
US9471801B2 (en) | Method and apparatus to support privileges at multiple levels of authentication using a constraining ACL | |
WO2007052388A1 (ja) | 機密ファイル保護方法、及び機密ファイル保護システム | |
US8819766B2 (en) | Domain-based isolation and access control on dynamic objects | |
KR20030082187A (ko) | 컴퓨터 시스템에 있어서 보안속성을 갖는 토큰을 이용한접근 제어방법 | |
US20090013401A1 (en) | Access Control System And Method | |
US20070022091A1 (en) | Access based file system directory enumeration | |
US9516031B2 (en) | Assignment of security contexts to define access permissions for file system objects | |
KR20050014678A (ko) | 데이터 아이템의 구역 기반 보안 관리 | |
JP2000207363A (ja) | ユ―ザ・アクセス制御装置 | |
Bassil | Windows and Linux operating systems from a security perspective | |
Koot | Introduction to Access Control (v4) | |
US20080301781A1 (en) | Method, system and computer program for managing multiple role userid | |
Shaw et al. | Hive security | |
Ferle | Account Access and Security | |
Chakrabarti et al. | Grid authorization systems |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
WITN | Application deemed withdrawn, e.g. because no request for examination was filed or no examination fee was paid |