RU2008127360A - Управление пользовательским доступом к объектам - Google Patents

Управление пользовательским доступом к объектам Download PDF

Info

Publication number
RU2008127360A
RU2008127360A RU2008127360/09A RU2008127360A RU2008127360A RU 2008127360 A RU2008127360 A RU 2008127360A RU 2008127360/09 A RU2008127360/09 A RU 2008127360/09A RU 2008127360 A RU2008127360 A RU 2008127360A RU 2008127360 A RU2008127360 A RU 2008127360A
Authority
RU
Russia
Prior art keywords
access
user
server
computer
policy
Prior art date
Application number
RU2008127360/09A
Other languages
English (en)
Other versions
RU2430413C2 (ru
Inventor
Джеймс Ричард СТЕРМС (US)
Джеймс Ричард СТЕРМС
Деннис РАХАМИМОВ (US)
Деннис РАХАМИМОВ
Цзыи ВАН (US)
Цзыи ВАН
Original Assignee
Майкрософт Корпорейшн (Us)
Майкрософт Корпорейшн
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Майкрософт Корпорейшн (Us), Майкрософт Корпорейшн filed Critical Майкрософт Корпорейшн (Us)
Publication of RU2008127360A publication Critical patent/RU2008127360A/ru
Application granted granted Critical
Publication of RU2430413C2 publication Critical patent/RU2430413C2/ru

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F17/00Digital computing or data processing equipment or methods, specially adapted for specific functions
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/62Protecting access to data via a platform, e.g. using keys or access control rules
    • G06F21/6218Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/101Access control lists [ACL]
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/21Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/2141Access rights, e.g. capability lists, access control lists, access tables, access matrices

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Computer Security & Cryptography (AREA)
  • Physics & Mathematics (AREA)
  • Databases & Information Systems (AREA)
  • General Physics & Mathematics (AREA)
  • Software Systems (AREA)
  • General Health & Medical Sciences (AREA)
  • Bioethics (AREA)
  • Health & Medical Sciences (AREA)
  • Computing Systems (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Mining & Analysis (AREA)
  • Mathematical Physics (AREA)
  • Storage Device Security (AREA)

Abstract

1. Способ для управления запросом от пользователя на доступ к объекту, содержащий ! (а) определение, отказано ли пользователю в доступе или предоставлен ли пользователю доступ к объекту, на основе политики; ! (b) если пользователю ни отказано в доступе, ни предоставлен доступ к объекту посредством политики, то определение, предоставлен ли пользователю доступ к объекту посредством списка управления доступом (ACL) для объекта; и ! (с) принятие решения, имеет ли пользователь доступ к объекту, как определено этапами (a) и (b). ! 2. Способ по п.1, в котором этап (a) включает в себя определение, отказано ли пользователю в доступе или предоставлен ли пользователю доступ к серверу, который содержит объект. ! 3. Способ по п.2, в котором сервер представляет собой виртуальный сервер. ! 4. Способ по п.2, в котором сервер представляет собой сервер протокола передачи гипертекста (HTTP). ! 5. Способ по п.2, дополнительно содержащий отказ пользователю в доступе к объекту, если пользователю отказано в доступе к серверу посредством политики. ! 6. Способ по п.5, в котором пользователю отказывается в доступе к объекту, даже если пользователю предоставляется доступ к объекту посредством ACL. ! 7. Способ по п.2, дополнительно содержащий предоставление пользователю доступа к объекту, если пользователю предоставляется доступ к серверу посредством политики. ! 8. Способ по п.7, в котором пользователю предоставляется доступ к объекту, даже если пользователю не предоставлен доступ к объекту посредством ACL. ! 9. Машиночитаемый носитель, содержащий сохраненные на нем выполняемые компьютером инструкции, которые, при выполнении компьютером, заставляют компьютер: ! (a) определять,

Claims (20)

1. Способ для управления запросом от пользователя на доступ к объекту, содержащий
(а) определение, отказано ли пользователю в доступе или предоставлен ли пользователю доступ к объекту, на основе политики;
(b) если пользователю ни отказано в доступе, ни предоставлен доступ к объекту посредством политики, то определение, предоставлен ли пользователю доступ к объекту посредством списка управления доступом (ACL) для объекта; и
(с) принятие решения, имеет ли пользователь доступ к объекту, как определено этапами (a) и (b).
2. Способ по п.1, в котором этап (a) включает в себя определение, отказано ли пользователю в доступе или предоставлен ли пользователю доступ к серверу, который содержит объект.
3. Способ по п.2, в котором сервер представляет собой виртуальный сервер.
4. Способ по п.2, в котором сервер представляет собой сервер протокола передачи гипертекста (HTTP).
5. Способ по п.2, дополнительно содержащий отказ пользователю в доступе к объекту, если пользователю отказано в доступе к серверу посредством политики.
6. Способ по п.5, в котором пользователю отказывается в доступе к объекту, даже если пользователю предоставляется доступ к объекту посредством ACL.
7. Способ по п.2, дополнительно содержащий предоставление пользователю доступа к объекту, если пользователю предоставляется доступ к серверу посредством политики.
8. Способ по п.7, в котором пользователю предоставляется доступ к объекту, даже если пользователю не предоставлен доступ к объекту посредством ACL.
9. Машиночитаемый носитель, содержащий сохраненные на нем выполняемые компьютером инструкции, которые, при выполнении компьютером, заставляют компьютер:
(a) определять, отказывает ли или предоставляет ли политика для сервера, содержащего объект, пользовательский доступ к серверу;
(b) если политика не отказывает и не предоставляет пользовательский доступ к серверу, то определять, предоставляет ли список управления доступом для объекта пользовательский доступ к объекту; и
(c) предоставлять или отказывать в пользовательском доступе к объекту, основываясь на этапах (a) и (b).
10. Машиночитаемый носитель по п.9, дополнительно содержащий выполняемые компьютером инструкции, которые, при выполнении компьютером, заставляют компьютер отказывать в пользовательском доступе к объекту, если политика отказывает в пользовательском доступе к серверу.
11. Машиночитаемый носитель по п.9, дополнительно содержащий выполняемые компьютером инструкции, которые, при выполнении компьютером, заставляют компьютер предоставлять пользовательский доступ к объекту, если политика предоставляет пользовательский доступ к серверу.
12. Машиночитаемый носитель по п.9, в котором сервер представляет собой виртуальный сервер.
13. Машиночитаемый носитель по п.9, в котором сервер представляет собой сервер протокола передачи гипертекста (HTTP).
14. Память для хранения данных для доступа прикладной программой, исполняемой на процессоре, причем память содержит структуру данных, сохраненную в памяти, структура данных содержит маску доступа для сервера, маска доступа определяет одно или более разрешений для, по меньшей мере, одного из предоставления доступа или отказа в доступе к серверу.
15. Память по п.14, причем сервер представляет собой виртуальный сервер, который находится на сервере протокола передачи гипертекста (НТТР).
16. Память по п.14, причем сервер представляет собой сервер протокола передачи гипертекста (HTTP).
17. Память по п.14, в которой маска доступа содержит набор масок предоставления доступа для определения предварительно заданного набора пользователей, которым предоставлен доступ к серверу.
18. Память по п.14, в которой маска доступа содержит набор масок отказа в доступе для определения предварительно заданного набора пользователей, которым отказано в доступе к серверу.
19. Память по п.14, в которой структура данных дополнительно содержит список управления доступом для объекта, содержащегося на сервере.
20. Память по п.19, в которой список управления доступом содержит набор масок предоставления доступа для определения предварительно заданного набора пользователей, которым предоставлен доступ к объекту.
RU2008127360/08A 2006-01-05 2007-01-04 Управление пользовательским доступом к объектам RU2430413C2 (ru)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
US11/325,930 2006-01-05
US11/325,930 US20070156691A1 (en) 2006-01-05 2006-01-05 Management of user access to objects

Publications (2)

Publication Number Publication Date
RU2008127360A true RU2008127360A (ru) 2010-01-10
RU2430413C2 RU2430413C2 (ru) 2011-09-27

Family

ID=38225843

Family Applications (1)

Application Number Title Priority Date Filing Date
RU2008127360/08A RU2430413C2 (ru) 2006-01-05 2007-01-04 Управление пользовательским доступом к объектам

Country Status (7)

Country Link
US (1) US20070156691A1 (ru)
EP (1) EP1974311A4 (ru)
JP (1) JP2009522694A (ru)
KR (1) KR20080083131A (ru)
CN (1) CN101366040B (ru)
RU (1) RU2430413C2 (ru)
WO (1) WO2007081785A1 (ru)

Families Citing this family (28)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
NO326590B1 (no) * 2007-04-16 2009-01-19 Kubekit As Fremgangsmate og anordning for verifikasjon av informasjonstilgang i IKT-system med flere sikkerhetsdimensjoner og sikkerhetsniva.
US20090157686A1 (en) * 2007-12-13 2009-06-18 Oracle International Corporation Method and apparatus for efficiently caching a system-wide access control list
US9172707B2 (en) * 2007-12-19 2015-10-27 Microsoft Technology Licensing, Llc Reducing cross-site scripting attacks by segregating HTTP resources by subdomain
US9047485B2 (en) * 2008-03-12 2015-06-02 International Business Machines Corporation Integrated masking for viewing of data
WO2009151459A1 (en) * 2008-06-13 2009-12-17 Hewlett-Packard Development Company, L.P. Hierarchical policy management
US8990896B2 (en) * 2008-06-24 2015-03-24 Microsoft Technology Licensing, Llc Extensible mechanism for securing objects using claims
FR2934392B1 (fr) * 2008-07-22 2010-08-13 Jean Patrice Glafkides Procede pour gerer des objets accessibles a des utilisateurs et dispositif informatique implique par la mise en oeuvre du procede
US8689289B2 (en) * 2008-10-02 2014-04-01 Microsoft Corporation Global object access auditing
US8108406B2 (en) * 2008-12-30 2012-01-31 Expanse Networks, Inc. Pangenetic web user behavior prediction system
US8654659B2 (en) * 2009-12-23 2014-02-18 Citrix Systems, Inc. Systems and methods for listening policies for virtual servers of appliance
US8689004B2 (en) 2010-11-05 2014-04-01 Microsoft Corporation Pluggable claim providers
EP2466853B1 (en) * 2010-12-17 2014-10-08 Alcatel Lucent Control of connection between devices for controlling the initiation, routing and security of connections between devices
US8429191B2 (en) * 2011-01-14 2013-04-23 International Business Machines Corporation Domain based isolation of objects
US8983985B2 (en) 2011-01-28 2015-03-17 International Business Machines Corporation Masking sensitive data of table columns retrieved from a database
US8930410B2 (en) 2011-10-03 2015-01-06 International Business Machines Corporation Query transformation for masking data within database objects
US8898593B2 (en) * 2011-10-05 2014-11-25 Microsoft Corporation Identification of sharing level
US9329784B2 (en) 2011-10-13 2016-05-03 Microsoft Technology Licensing, Llc Managing policies using a staging policy and a derived production policy
US9189643B2 (en) 2012-11-26 2015-11-17 International Business Machines Corporation Client based resource isolation with domains
US9838424B2 (en) 2014-03-20 2017-12-05 Microsoft Technology Licensing, Llc Techniques to provide network security through just-in-time provisioned accounts
US9836596B2 (en) * 2015-07-08 2017-12-05 Google Inc. Methods and systems for controlling permission requests for applications on a computing device
RU2659743C1 (ru) * 2017-02-08 2018-07-03 Акционерное общество "Лаборатория Касперского" Система и способ контроля доступа на основе ACL
CN108628879B (zh) * 2017-03-19 2023-04-07 上海格尔安全科技有限公司 一种带优先级策略的访问控制构造的检索方法
US10630695B2 (en) 2017-06-29 2020-04-21 Amazon Technologies, Inc. Security policy monitoring service
US10757128B2 (en) 2017-06-29 2020-08-25 Amazon Technologies, Inc. Security policy analyzer service and satisfiability engine
US10922423B1 (en) * 2018-06-21 2021-02-16 Amazon Technologies, Inc. Request context generator for security policy validation service
US11483317B1 (en) 2018-11-30 2022-10-25 Amazon Technologies, Inc. Techniques for analyzing security in computing environments with privilege escalation
US11627126B2 (en) * 2020-08-20 2023-04-11 Bank Of America Corporation Expedited authorization and access management
EP4092556A1 (en) * 2021-05-20 2022-11-23 Nordic Semiconductor ASA Bus decoder

Family Cites Families (20)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP0398645B1 (en) * 1989-05-15 1997-08-06 International Business Machines Corporation System for controlling access privileges
JPH0771094B2 (ja) * 1989-05-19 1995-07-31 オムロン株式会社 通信ネットワークシステム
US5187790A (en) * 1989-06-29 1993-02-16 Digital Equipment Corporation Server impersonation of client processes in an object based computer operating system
US5787427A (en) * 1996-01-03 1998-07-28 International Business Machines Corporation Information handling system, method, and article of manufacture for efficient object security processing by grouping objects sharing common control access policies
FR2745967B1 (fr) * 1996-03-07 1998-04-17 Bull Cp8 Procede de securisation des acces d'une station a au moins un serveur et dispositif mettant en oeuvre le procede
US5991879A (en) * 1997-10-23 1999-11-23 Bull Hn Information Systems Inc. Method for gradual deployment of user-access security within a data processing system
US6119153A (en) * 1998-04-27 2000-09-12 Microsoft Corporation Accessing content via installable data sources
US6832120B1 (en) * 1998-05-15 2004-12-14 Tridium, Inc. System and methods for object-oriented control of diverse electromechanical systems using a computer network
US6182142B1 (en) * 1998-07-10 2001-01-30 Encommerce, Inc. Distributed access management of information resources
US6330572B1 (en) * 1998-07-15 2001-12-11 Imation Corp. Hierarchical data storage management
US6785810B1 (en) * 1999-08-31 2004-08-31 Espoc, Inc. System and method for providing secure transmission, search, and storage of data
US6606659B1 (en) * 2000-01-28 2003-08-12 Websense, Inc. System and method for controlling access to internet sites
US7096502B1 (en) * 2000-02-08 2006-08-22 Harris Corporation System and method for assessing the security posture of a network
US6883101B1 (en) * 2000-02-08 2005-04-19 Harris Corporation System and method for assessing the security posture of a network using goal oriented fuzzy logic decision rules
US7260718B2 (en) * 2001-04-26 2007-08-21 International Business Machines Corporation Method for adding external security to file system resources through symbolic link references
US20020184516A1 (en) * 2001-05-29 2002-12-05 Hale Douglas Lavell Virtual object access control mediator
US7401235B2 (en) * 2002-05-10 2008-07-15 Microsoft Corporation Persistent authorization context based on external authentication
CN100437550C (zh) * 2002-09-24 2008-11-26 武汉邮电科学研究院 一种以太网认证接入的方法
US7243105B2 (en) * 2002-12-31 2007-07-10 British Telecommunications Public Limited Company Method and apparatus for automatic updating of user profiles
JP4368184B2 (ja) * 2003-11-19 2009-11-18 株式会社日立製作所 ブラックリストによる緊急アクセス遮断装置

Also Published As

Publication number Publication date
RU2430413C2 (ru) 2011-09-27
KR20080083131A (ko) 2008-09-16
JP2009522694A (ja) 2009-06-11
WO2007081785A1 (en) 2007-07-19
EP1974311A1 (en) 2008-10-01
CN101366040B (zh) 2010-12-01
EP1974311A4 (en) 2010-04-07
US20070156691A1 (en) 2007-07-05
CN101366040A (zh) 2009-02-11

Similar Documents

Publication Publication Date Title
RU2008127360A (ru) Управление пользовательским доступом к объектам
KR101573669B1 (ko) 문서들의 디지털 사용 권한들을 관리하기 위한 방법 및 디바이스
KR101278786B1 (ko) 클라이언트에 포함된 샌드박스형 코드에 의한 자원으로의액세스를 관리하기 위한, 컴퓨터 구현 방법, 시스템, 및이들을 구현하는 명령어가 저장된 컴퓨터 판독가능 매체
US8590003B2 (en) Controlling access to resources by hosted entities
US8122484B2 (en) Access control policy conversion
US8276184B2 (en) User-centric resource architecture
US9635029B2 (en) Role-based access control permissions
US7290279B2 (en) Access control method using token having security attributes in computer system
US20080172721A1 (en) Internet Access Time Control Method Using Authentication Assertion
KR101882871B1 (ko) 보안 웹 위젯 런타임 시스템을 위한 방법 및 장치
KR20090060286A (ko) 권리의 위임 제어를 위한 방법, 장치, 및 시스템
US20130226970A1 (en) Systems and/or methods for automatically deriving web service permissions based on xml structure permissions
RU2007143155A (ru) Способ и система предоставления неограниченных лицензий ограниченному количеству устройств
KR100651751B1 (ko) 유비쿼터스 환경에서 서비스 접근 권한을 통제하는 방법 및이를 위한 보안 미들웨어
JP2010515158A (ja) 時間を基準にした許可
WO2006104810A3 (en) Security policy driven data redaction
JP2010027028A5 (ru)
JP2004533075A5 (ru)
US20080066158A1 (en) Authorization Decisions with Principal Attributes
WO2016014079A1 (en) Constraining authorization tokens via filtering
US9286476B2 (en) Method and system for configuring constraints for a resource in an electronic device
JP2012033189A (ja) 統合されたアクセス認可
Xu et al. A study on confidentiality and integrity protection of SELinux
Gkioulos et al. Enhancing usage control for performance: An architecture for systems of systems
CN114860481A (zh) 剪贴板保护方法、系统、存储介质及计算机设备

Legal Events

Date Code Title Description
PC41 Official registration of the transfer of exclusive right

Effective date: 20150526

MM4A The patent is invalid due to non-payment of fees

Effective date: 20180105