RU2008104859A - Двухуровневый список управления доступом - Google Patents

Двухуровневый список управления доступом Download PDF

Info

Publication number
RU2008104859A
RU2008104859A RU2008104859/09A RU2008104859A RU2008104859A RU 2008104859 A RU2008104859 A RU 2008104859A RU 2008104859/09 A RU2008104859/09 A RU 2008104859/09A RU 2008104859 A RU2008104859 A RU 2008104859A RU 2008104859 A RU2008104859 A RU 2008104859A
Authority
RU
Russia
Prior art keywords
permission
permissions
computing resource
link
list
Prior art date
Application number
RU2008104859/09A
Other languages
English (en)
Inventor
Тим МАККИ (US)
Тим МАККИ
Эндрю БАЙБИ (US)
Эндрю БАЙБИ
Уолтер СМИТ (US)
Уолтер СМИТ
ВОРЧИК Дэвид Г. ДЕ (US)
ВОРЧИК Дэвид Г. ДЕ
Педро СЕЛИС (US)
Педро СЕЛИС
Original Assignee
Майкрософт Корпорейшн (Us)
Майкрософт Корпорейшн
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Майкрософт Корпорейшн (Us), Майкрософт Корпорейшн filed Critical Майкрософт Корпорейшн (Us)
Publication of RU2008104859A publication Critical patent/RU2008104859A/ru

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F12/00Accessing, addressing or allocating within memory systems or architectures
    • G06F12/14Protection against unauthorised use of memory or access to memory
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/62Protecting access to data via a platform, e.g. using keys or access control rules
    • G06F21/6218Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/604Tools and structures for managing or administering access control systems
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/21Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/2117User registration
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/21Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/2141Access rights, e.g. capability lists, access control lists, access tables, access matrices
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/21Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/2145Inheriting rights or properties, e.g., propagation of permissions or restrictions within a hierarchy
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/101Access control lists [ACL]

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Bioethics (AREA)
  • General Health & Medical Sciences (AREA)
  • Computer Hardware Design (AREA)
  • Software Systems (AREA)
  • Health & Medical Sciences (AREA)
  • Automation & Control Theory (AREA)
  • Databases & Information Systems (AREA)
  • Storage Device Security (AREA)

Abstract

1. Способ предоставления управления доступом к ресурсу в вычислительной системе, содержащий этапы, на которых: ! (a) считывают одну или более ссылок на набор разрешений, соответствующих вычислительному ресурсу, ! (b) запрашивают базу данных управления доступом, чтобы получить набор разрешений, соответствующих каждой из одной или более ссылок, ! (c) объединяют наборы разрешений из этапа (b), чтобы получить объединенный набор разрешений для вычислительного ресурса, ! (d) изучают объединенный набор разрешений, чтобы идентифицировать, имеет ли объект, запрашивающий использование вычислительного ресурса, разрешение для такого использования. ! 2. Способ по п.1, в котором этап (c) дополнительно содержит этап, на котором объединяют все наборы разрешений с помощью операции ИЛИ по наборам разрешений, возвращенных на этапе (b). ! 3. Способ по п.2, в котором каждое разрешение содержит предоставление разрешения или отклонение разрешения для предварительно определенного использования вычислительного ресурса, и в котором отклонение разрешения отменяет соответствующее предоставление разрешения. ! 4. Способ по п.1, в котором этап (a) содержит этап, на котором считывают одну или более ссылок из списка управления доступом (ACL). ! 5. Способ по п.1, в котором этап (a) дополнительно содержит этап, на котором считывают явные разрешения для вычислительного ресурса, а этап (c) содержит этап, на котором объединяют явные разрешения с одним или более наборами разрешений из этапа (b). ! 6. Способ по п.1, в котором первая ссылка из одной или более ссылок соответствует предварительно определенному списку. ! 7. Способ по п.1, в котором первая ссылка из одной или более ссы�

Claims (15)

1. Способ предоставления управления доступом к ресурсу в вычислительной системе, содержащий этапы, на которых:
(a) считывают одну или более ссылок на набор разрешений, соответствующих вычислительному ресурсу,
(b) запрашивают базу данных управления доступом, чтобы получить набор разрешений, соответствующих каждой из одной или более ссылок,
(c) объединяют наборы разрешений из этапа (b), чтобы получить объединенный набор разрешений для вычислительного ресурса,
(d) изучают объединенный набор разрешений, чтобы идентифицировать, имеет ли объект, запрашивающий использование вычислительного ресурса, разрешение для такого использования.
2. Способ по п.1, в котором этап (c) дополнительно содержит этап, на котором объединяют все наборы разрешений с помощью операции ИЛИ по наборам разрешений, возвращенных на этапе (b).
3. Способ по п.2, в котором каждое разрешение содержит предоставление разрешения или отклонение разрешения для предварительно определенного использования вычислительного ресурса, и в котором отклонение разрешения отменяет соответствующее предоставление разрешения.
4. Способ по п.1, в котором этап (a) содержит этап, на котором считывают одну или более ссылок из списка управления доступом (ACL).
5. Способ по п.1, в котором этап (a) дополнительно содержит этап, на котором считывают явные разрешения для вычислительного ресурса, а этап (c) содержит этап, на котором объединяют явные разрешения с одним или более наборами разрешений из этапа (b).
6. Способ по п.1, в котором первая ссылка из одной или более ссылок соответствует предварительно определенному списку.
7. Способ по п.1, в котором первая ссылка из одной или более ссылок соответствует предварительно определенному автосписку.
8. Способ по п.1, в котором первая ссылка из одной или более ссылок соответствует выбранной пользователем ссылке.
9. Один или более машиночитаемых носителей, хранящих машиноисполняемые инструкции для выполнения способа по п.1.
10. Способ установки разрешений безопасности для вычислительного ресурса, содержащий этапы, на которых:
(a) определяют первый набор разрешений безопасности;
(b) определяют второй набор разрешений безопасности;
(c) сохраняют первую ссылку на первый набор разрешений безопасности и вторую ссылку на второй набор разрешений безопасности в данных по безопасности, соответствующих вычислительному ресурсу.
11. Способ по п.10, в котором вычислительный ресурс определен списком.
12. Способ по п.10, в котором вычислительный ресурс определен автосписком.
13. Один или более машиночитаемых носителей, хранящие машиноисполняемые инструкции для выполнения способа по п.10.
14. Один или более машиночитаемых носителей, имеющих структуру данных, сохраненную на них, упомянутая структура данных содержит:
(a) первое поле данных, идентифицирующее вычислительный ресурс, которому соответствует структура данных,
(b) второе поле данных, содержащее первую ссылку на набор разрешений безопасности, и
(c) третье поле данных, содержащее вторую ссылку на набор разрешений безопасности.
15. Носитель по п.14, в котором структура данных дополнительно содержит четвертое поле данных, хранящее явное разрешение.
RU2008104859/09A 2005-08-11 2006-08-10 Двухуровневый список управления доступом RU2008104859A (ru)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
US11/201,131 US20070039045A1 (en) 2005-08-11 2005-08-11 Dual layered access control list
US11/201,131 2005-08-11

Publications (1)

Publication Number Publication Date
RU2008104859A true RU2008104859A (ru) 2009-08-20

Family

ID=37744040

Family Applications (1)

Application Number Title Priority Date Filing Date
RU2008104859/09A RU2008104859A (ru) 2005-08-11 2006-08-10 Двухуровневый список управления доступом

Country Status (9)

Country Link
US (1) US20070039045A1 (ru)
EP (1) EP1922625A4 (ru)
JP (1) JP2009507275A (ru)
KR (1) KR20080033376A (ru)
CN (1) CN101506781A (ru)
BR (1) BRPI0614674A2 (ru)
MX (1) MX2008001849A (ru)
RU (1) RU2008104859A (ru)
WO (1) WO2007021949A2 (ru)

Families Citing this family (24)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
TWI263894B (en) * 2003-10-15 2006-10-11 Hon Hai Prec Ind Co Ltd System and method for quickly getting user's permission in access control list
US7747647B2 (en) * 2005-12-30 2010-06-29 Microsoft Corporation Distributing permission information via a metadirectory
CN101755427B (zh) * 2007-04-10 2013-03-06 阿珀蒂奥有限公司 网络架构中改进的子树访问控制
US8924468B2 (en) * 2008-05-08 2014-12-30 Bang & Olufsen A/S Method and means for a multilayer access control
US20110246527A1 (en) * 2010-03-31 2011-10-06 Salesforce.Com, Inc. System, method and computer program product for associating a permission set with one or more users
US8959115B2 (en) * 2010-07-09 2015-02-17 Symantec Corporation Permission tracking systems and methods
JP2012027650A (ja) * 2010-07-22 2012-02-09 Nec Corp コンテンツ管理装置およびコンテンツ管理方法
US8990950B2 (en) * 2010-12-27 2015-03-24 International Business Machines Corporation Enabling granular discretionary access control for data stored in a cloud computing environment
US8832389B2 (en) 2011-01-14 2014-09-09 International Business Machines Corporation Domain based access control of physical memory space
US8595821B2 (en) 2011-01-14 2013-11-26 International Business Machines Corporation Domains based security for clusters
US8631123B2 (en) 2011-01-14 2014-01-14 International Business Machines Corporation Domain based isolation of network ports
US8429191B2 (en) 2011-01-14 2013-04-23 International Business Machines Corporation Domain based isolation of objects
US8375439B2 (en) 2011-04-29 2013-02-12 International Business Machines Corporation Domain aware time-based logins
US9740518B2 (en) 2012-09-12 2017-08-22 Nxp Usa, Inc. Conflict detection circuit for resolving access conflict to peripheral device by multiple virtual machines
WO2014080248A1 (en) * 2012-11-23 2014-05-30 Freescale Semiconductor, Inc. System on chip
US9189643B2 (en) 2012-11-26 2015-11-17 International Business Machines Corporation Client based resource isolation with domains
US9477934B2 (en) * 2013-07-16 2016-10-25 Sap Portals Israel Ltd. Enterprise collaboration content governance framework
US9781120B2 (en) 2013-07-18 2017-10-03 Nxp Usa, Inc. System on chip and method therefor
WO2015103794A1 (zh) * 2014-01-13 2015-07-16 华为技术有限公司 一种文件访问权限控制方法及装置
US9690719B2 (en) 2014-09-11 2017-06-27 Nxp Usa, Inc. Mechanism for managing access to at least one shared integrated peripheral of a processing unit and a method of operating thereof
WO2018068868A1 (en) * 2016-10-14 2018-04-19 Huawei Technologies Co., Ltd. Apparatus and method for tracking access permissions over multiple execution environments
US11968214B2 (en) * 2020-03-16 2024-04-23 Microsoft Technology Licensing, Llc Efficient retrieval and rendering of access-controlled computer resources
GB2596103B (en) * 2020-06-17 2022-06-15 Graphcore Ltd Dual level management
US20220114265A1 (en) * 2020-10-08 2022-04-14 Google Llc Unified viewing of roles and permissions in a computer data processing system

Family Cites Families (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5999978A (en) * 1997-10-31 1999-12-07 Sun Microsystems, Inc. Distributed system and method for controlling access to network resources and event notifications
US6279111B1 (en) 1998-06-12 2001-08-21 Microsoft Corporation Security model using restricted tokens
US6721888B1 (en) * 1999-11-22 2004-04-13 Sun Microsystems, Inc. Mechanism for merging multiple policies
US7669238B2 (en) * 2000-06-21 2010-02-23 Microsoft Corporation Evidence-based application security
US7546629B2 (en) * 2002-03-06 2009-06-09 Check Point Software Technologies, Inc. System and methodology for security policy arbitration
US20030130953A1 (en) 2002-01-09 2003-07-10 Innerpresence Networks, Inc. Systems and methods for monitoring the presence of assets within a system and enforcing policies governing assets
US20040088563A1 (en) * 2002-11-01 2004-05-06 Hogan Dirk J. Computer access authorization
US20050039001A1 (en) * 2003-07-30 2005-02-17 Microsoft Corporation Zoned based security administration for data items

Also Published As

Publication number Publication date
EP1922625A4 (en) 2012-01-25
EP1922625A2 (en) 2008-05-21
WO2007021949A3 (en) 2009-04-30
CN101506781A (zh) 2009-08-12
BRPI0614674A2 (pt) 2011-04-12
MX2008001849A (es) 2008-04-14
JP2009507275A (ja) 2009-02-19
KR20080033376A (ko) 2008-04-16
WO2007021949A2 (en) 2007-02-22
US20070039045A1 (en) 2007-02-15

Similar Documents

Publication Publication Date Title
RU2008104859A (ru) Двухуровневый список управления доступом
Di Minin et al. How to address data privacy concerns when using social media data in conservation science
US7299171B2 (en) Method and system for processing grammar-based legality expressions
Khan et al. SAFE: Policy Aware SPARQL Query Federation Over RDF Data Cubes.
Moran et al. Serial vs. parallel models of attention in visual search: accounting for benchmark RT-distributions
Landau Control use of data to protect privacy
US9224007B2 (en) Search engine with privacy protection
US8869301B2 (en) Methods, data processing systems, and computer program products for assigning privacy levels to data elements
KR20050081164A (ko) 로우 레벨 데이터베이스 보안을 최적화하는 시스템 및 방법
US20140164405A1 (en) Dynamic data masking method and database system
RU2009121556A (ru) Стратегии изучения уязвимостей и подавления уязвимостей, вызываемых посредством захвата учетных данных
Peng et al. BlockShare: A Blockchain empowered system for privacy-preserving verifiable data sharing.
CN1585325A (zh) 对数据项目的基于区域的安全管理
JP2005503596A5 (ru)
US20170220792A1 (en) Constraining authorization tokens via filtering
Wu et al. An approach for the protection of users’ book browsing preference privacy in a digital library
Martinelli et al. Too long, did not enforce: a qualitative hierarchical risk-aware data usage control model for complex policies in distributed environments
Guermazi et al. Adaptive security for Cloud data warehouse as a service
Sun et al. Splitting anonymization: a novel privacy-preserving approach of social network
Li et al. PhotoSafer: content-based and context-aware private photo protection for smartphones
US20070088635A1 (en) Determining policy compliance based on existing compliance results
CN104954465B (zh) 一种适用于云服务组合场景下隐私策略合成方法
Metoui et al. Trust and risk-based access control for privacy preserving threat detection systems
Kavitha et al. Exploring the malicious android applications and reducing risk using static analysis
CN111092872A (zh) 一种隐私保护方法、装置及设备

Legal Events

Date Code Title Description
FA93 Acknowledgement of application withdrawn (no request for examination)

Effective date: 20090811