RU2430413C2 - Управление пользовательским доступом к объектам - Google Patents
Управление пользовательским доступом к объектам Download PDFInfo
- Publication number
- RU2430413C2 RU2430413C2 RU2008127360/08A RU2008127360A RU2430413C2 RU 2430413 C2 RU2430413 C2 RU 2430413C2 RU 2008127360/08 A RU2008127360/08 A RU 2008127360/08A RU 2008127360 A RU2008127360 A RU 2008127360A RU 2430413 C2 RU2430413 C2 RU 2430413C2
- Authority
- RU
- Russia
- Prior art keywords
- access
- policy
- user
- control list
- denied
- Prior art date
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F17/00—Digital computing or data processing equipment or methods, specially adapted for specific functions
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/62—Protecting access to data via a platform, e.g. using keys or access control rules
- G06F21/6218—Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/101—Access control lists [ACL]
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/21—Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/2141—Access rights, e.g. capability lists, access control lists, access tables, access matrices
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- General Engineering & Computer Science (AREA)
- Physics & Mathematics (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- General Physics & Mathematics (AREA)
- Databases & Information Systems (AREA)
- Software Systems (AREA)
- Health & Medical Sciences (AREA)
- Bioethics (AREA)
- General Health & Medical Sciences (AREA)
- Signal Processing (AREA)
- Computing Systems (AREA)
- Computer Networks & Wireless Communication (AREA)
- Data Mining & Analysis (AREA)
- Mathematical Physics (AREA)
- Storage Device Security (AREA)
Abstract
Изобретение относится к технологиям, способам, системам и устройствам для управления пользовательским запросом. Техническим результатом является упрощение доступа пользователя к данным с различной степенью доступа. При этом может быть выполнено определение относительно того, отказывают ли пользователю или предоставляют доступ к объекту, основываясь на политике доступа. Если пользователю не отказывают и не предоставляют доступ к объекту согласно политике, то выполняется определение относительно того, предоставляется ли пользователю доступ к объекту посредством списка управления доступом для объекта. Затем принимается решение относительно того, есть ли у пользователя доступ к объекту, как определено вышеуказанными этапами. 3 н. и 8 з.п.ф-лы, 3 ил.
Description
Предпосылки изобретения
При обращении с информацией часто желательно ограничить доступ к определенным частям информации таким образом, чтобы эти определенные части были доступны только для определенных авторизованных пользователей. Если информация содержится в физических документах (например, в напечатанной книге или бухгалтерских книгах), такие документы могут защищаться с использованием физического управления доступом, например замков или с помощью хранителей документов. Однако в сегодняшнем мире большое количество информации сохранено в форме цифровых данных. Цифровые данные могут быть легко созданы, изменены, скопированы, транспортированы и удалены, что приводит к быстрому увеличению огромных объемов цифровых данных, существующих в несметном числе местоположений. Подобно физическим документам, часто желательно ограничить доступ к частям цифровых данных. Однако имеющееся количество цифровых данных и простота создания, копирования, транспортировки, изменения и удаления цифровых данных делают защиту цифровых данных проблематичной.
Цифровые данные могут обычно храниться в файловых структурах. Файловая структура может быть иерархической системой хранения данных, в которой объекты, содержащие цифровые данные, могут храниться в папках. Объект может быть программой, процессом, файлом или событием. Объект также может иметь дескриптор защиты. Папки могут быть далее сохранены в других папках. К цифровым данным в объекте можно получить доступ на поэлементной основе.
Для данной файловой структуры список управления доступом (ACL) может быть назначен каждому объекту, причем ACL представляет собой структуру данных, которая указывает операционной системе компьютера, какие разрешения или права доступа каждый пользователь компьютера имеет по отношению к данному объекту. ACL может определить, что у конкретного пользователя или группы пользователей есть определенные разрешения, такие как чтение, запись или выполнение разрешений. Таким образом, в ответ на запрос доступа к объекту можно обратиться к ACL для объекта, чтобы определить разрешения, назначенные для объекта.
Администратор системы может изменить разрешения защиты по умолчанию, определенные в ACL, основываясь на требованиях доступа для конкретного объекта. Учитывая, что могут быть сотни, тысячи или даже миллионы объектов, процесс просмотра ACL для каждого объекта может быть неприемлемым по затратам и утомительным.
Далее, вложение групп делает затруднительным для администратора системы гарантировать, что только соответствующие пользователи имеют разрешения. Например, если ACL содержит запись для группы пользователей, всем пользователям в этой группе предоставляются разрешения, включая группы внутри групп. Соответственно, для администраторов системы может быть трудно гарантировать, что определенный пользователь или группа пользователей не имеют разрешений для объекта.
Сущность изобретения
Здесь описаны реализации различных технологий для того, чтобы управлять запросом от пользователя, чтобы получить доступ к объекту. В одной реализации выполняется определение относительно того, отказывается ли пользователю в доступе или предоставляется доступ к объекту, основываясь на политике (этап a). Если пользователю не отказывается и не предоставляется доступ к объекту согласно политике, то выполняется определение относительно того, предоставляет ли пользователю доступ к объекту список управления доступом (ACL) для объекта (этап b). Затем принимается решение относительно того, есть ли у пользователя доступ к объекту, как определено этапами (a) и (b).
В другой реализации выполняется определение относительно того, отказывается ли пользователю в доступе или предоставляется ли доступ к серверу, который содержит объект.
В еще одной реализации сервер является виртуальным сервером.
В еще одной реализации, если пользователю отказано в доступе к серверу согласно политике, то пользователю отказывается в доступе к объекту, даже если ACL предоставляет пользователю доступ к объекту.
В еще одной реализации, если пользователю предоставляется доступ к серверу согласно политике, то пользователю предоставляется доступ к объекту, даже если ACL не предоставил пользователю доступ к объекту.
Реализации различных методов также направлены на машиночитаемый носитель, содержащий сохраненные на нем выполняемые компьютером инструкции, которые, при выполнении компьютером, заставляют компьютер: (a) определять, отказывает ли политика для сервера, содержащего объект, или предоставляет пользовательский доступ к серверу, (b) если политика не отказывает и не предоставляет пользовательский доступ к серверу, то определять, предоставляет ли список управления доступом для объекта пользовательский доступ к объекту и (c) предоставлять или отказывать в пользовательском доступе к объекту, основываясь на этапах (a) и (b).
Реализации различных методов также направлены на память для хранения данных для доступа прикладной программой, исполняемой на процессоре. Память имеет структуру данных, сохраненную в памяти. Структура данных включает маску доступа для сервера. Маска доступа определяет одно или более разрешений для предоставления доступа или отказа в доступе к серверу.
Заявленное решение не ограничивается реализациями, которые преодолевают некоторые или все из отмеченных недостатков. Далее, этот раздел, описывающий сущность изобретения, предоставлен, чтобы ввести выбор понятий в упрощенной форме, которые дополнительно описаны ниже в разделе, относящемся к детальному описанию. Этот раздел, описывающий сущность изобретения, не предназначен, чтобы идентифицировать главные признаки или существенные признаки заявленного решения, и при этом он не предназначен, чтобы использоваться для ограничения объема заявленного решения.
Краткое описание чертежей
Фиг. 1 иллюстрирует схематичную диаграмму сетевой среды, в которой методы, описанные здесь, могут быть внедрены и осуществлены.
Фиг. 2 иллюстрирует блок-схему способа для управления доступом к одному или более объектам в соответствии с методами, описанными здесь.
Фиг. 3 иллюстрирует блок-схему того, как различные реализации методов, описанных здесь, могут генерировать эффективный набор разрешений путем слияния маски доступа политики с маской доступа ACL.
Детальное описание
Фиг. 1 иллюстрирует схематичную диаграмму сетевой среды 100, в которой методы, описанные здесь, могут быть внедрены и осуществлены. Сетевая среда 100 может включать в себя обычный настольный или серверный компьютер 5, который включает в себя центральный блок обработки (центральный процессор, CPU) 10, системную память 20 и системную шину 30, которая соединяет системную память 20 с центральным процессором 10. Системная память 20 может включать в себя память произвольного доступа (RAM, ОЗУ) 25 и постоянную память (ROM, ПЗУ) 28. Базовая система ввода/вывода, содержащая основные подпрограммы, которые помогают передавать информацию между компонентами в компьютере, например, во время запуска, могут быть сохранены в ROM 28. Вычислительная система 5 может далее включать запоминающее устройство 40 большой емкости для хранения операционной системы 45, прикладных программ и других программных модулей, которые описаны более детально ниже.
Специалистам в данной области техники должно быть понятно, что различное выполнение технологий, описанных здесь, может быть осуществлено в других конфигурациях компьютерной системы, включая серверы протокола передачи гипертекста (HTTP), переносные устройства, мультипроцессорные устройства, основанную на микропроцессорах или программируемую бытовую электронику, сетевые персональные компьютеры (PC), миникомпьютеры, универсальные компьютеры и т.п. Реализации различных технологий, описанных здесь, могут также быть осуществлены в распределенной вычислительной среде, где задачи выполняются локальными и удаленными устройствами обработки, которые связаны через коммуникационную сеть, например, проводными линиями связи, беспроводными линиями связи или их комбинациями. В распределенной вычислительной среде программные модули могут быть расположены как в локальных, так и в удаленных устройствах памяти.
Запоминающее устройство 40 большой емкости может быть связано с центральным процессором 10 через системную шину 30 и контроллер запоминающего устройства большой емкости (не показан). Запоминающее устройство 40 большой емкости и его ассоциированные машиночитаемые среды (носители) конфигурированы для обеспечения энергонезависимого хранилища для вычислительной системы 5. Хотя описание машиночитаемых носителей, содержащееся здесь, относится к запоминающему устройству большой емкости, такому как жесткий диск или дисковод для компакт-дисков, специалистам в данной области техники должно быть понятно, что машиночитаемые носители могут быть любыми носителями, к которым может получить доступ вычислительная система 5. Например, машиночитаемые носители могут включать в себя компьютерные носители данных и коммуникационные среды. Компьютерные носители данных включают в себя энергозависимые и энергонезависимые, сменные и несменные носители, реализованные любым методом или технологией для хранения информации, такой как считываемые компьютером инструкции, структуры данных, программные модули или другие данные.
Компьютерные носители данных далее включают, без ограничения указанным, RAM (ОЗУ), ROM (ПЗУ), стираемую программируемую постоянную память (EPROM), электрически стираемую программируемую постоянную память (EEPROM), флеш-память или другую твердотельную память, ПЗУ на компакт-дисках (CD-ROM), цифровые универсальные диски (DVD) или другое оптическое запоминающее устройство (ЗУ), магнитные кассеты, магнитную ленту, магнитное дисковое ЗУ или другие магнитные ЗУ или любой другой носитель, который может использоваться, чтобы хранить желательную информацию, и к которому может получить доступ вычислительная система 5.
Как кратко упомянуто выше, запоминающее устройство 40 большой емкости может содержать операционную систему 45, которая является подходящей для управления работой сетевого персонала или серверного компьютера. Операционная система 45 может быть Windows® XP, Mac OS® X, варианты Unix, такие как Linux® и BSD®, и т.п. Запоминающее устройство 40 большой емкости может также содержать один или более списков управления доступом (ACL) 42, которые используются для определения прав, которые могут иметь пользователи по отношению к объектам в запоминающем устройстве 40 большой емкости. Хотя только единственный ACL показан на фиг. 1, понятно, что ACL 42 может представлять несколько ACL, причем каждый ACL предоставляет одно или более пользовательских прав на объект, ассоциированный с этим ACL. Объекты могут обычно упоминаться как элементы или ресурсы. Объект может быть программой, процессом, файлом, событием или чем-нибудь еще, имеющим дескриптор защиты. Каждый ACL может включать структуру данных, обычно таблицу, содержащую записи управления доступом (АСЕ), которые определяют права пользователя или группы на данный объект. Каждый АСЕ содержит идентификатор защиты для пользователя или группы и маску доступа, которая определяет, какие операции для выполнения пользователем или группой разрешены, или в каких отказано. Маска доступа может содержать значение, которое определяет разрешения, которые допущены или отклонены в АСЕ списка ACL.
Как кратко упомянуто выше, запоминающее устройство 40 большой емкости может содержать модули. Программные модули в общем случае включают в себя подпрограммы, программы, компоненты, структуры данных и другие типы структур, которые выполняют специфические задачи или реализуют специфические абстрактные типы данных. Как правило, функциональные возможности модулей программы могут быть объединены или распределены, как желательно в различных реализациях.
В одной реализации запоминающее устройство 40 большой емкости содержит модуль 44 аутентификации и модуль 46 авторизации. Модуль 44 аутентификации конфигурирован для верификации идентичности пользователя. Например, пользователь может быть идентифицирован несколькими идентификаторами защиты (SID), причем каждый SID представляет собой структуру данных переменной длины, которая идентифицирует пользователя или различные группы, участником которых является пользователь. Также модуль 44 аутентификации может получать доступ к базе данных информации аутентификации, имеющей информацию, с которой SID должны сравниваться. База данных информации аутентификации (не показана) может быть сохранена в запоминающем устройстве 40 большой емкости. Различные реализации технологий, описанные здесь, не ограничены использованием SID, то есть идентичность пользователя может быть идентифицирована с использованием других типов идентификаторов, таких как пароли, сертификаты, биометрия и т.п. Процесс аутентификации может быть любым методом аутентификации, включая стандартный метод аутентификации, такой как метод аутентификации Kerebos, в котором Kerebos-клиент пользовательской компьютерной системы предоставляет имя пользователя и пароль на Kerebos-сервер домена администратора. Kerebos-сервер подтверждает имя пользователя и пароль, гарантирует, что пользователь имеет права доступа на основе «разрешено аутентифицировать» к запрошенной компьютерной система, и если так, то предоставляет «мандат» пользователю. Этот мандат используется всякий раз, когда этот пользователь пытается получить доступ к объекту компьютерной системы, по отношению к которой он был аутентифицирован. Если мандат действителен, то доступ к объекту может быть определен и авторизован в соответствии с ACL объекта и политикой системы, которая содержит объект. В противном случае в доступе отказывается. Этот процесс определения и авторизации будет описан более подробно в следующих абзацах. В одной реализации, как только идентичность пользователя аутентифицирована, права пользователя на доступ к объекту могут быть определены модулем 46 авторизации, который будет также описан более подробно ниже.
Модуль 44 аутентификации и/или модуль 46 авторизации могут быть любым типом программируемых кодов, таких как библиотека с динамическими связями (DLL), которая в общем случае определена как модуль исполняемого кода, который может быть загружен по требованию и связан во время исполнения и затем выгружен, когда код больше не нужен, динамические совместно используемые объекты и т.п.
Как проиллюстрировано на фиг. 1, вычислительная система 5 может работать в сетевой среде 100, использующей логические соединения с удаленными компьютерами через сеть 50, такую как Интернет, интранет или экстранет. Вычислительная система 5 может соединиться с сетью 50 через блок 60 сетевого интерфейса, соединенный с системной шиной 30. Понятно, что блок 60 сетевого интерфейса может также использоваться для соединения с другими типами сетей и удаленными компьютерными системами. Вычислительная система 5 может также включать в себя контроллер 70 ввода/вывода для приема и обработки ввода от ряда других устройств, включая клавиатуру, мышь или электронное перо (не показано). Контроллер 70 ввода/вывода может также обеспечить вывод на экран дисплея, на принтер или устройства вывода других типов.
В одной реализации вычислительная система 5 соединена с центральным ЗУ 80 конфигурации, которое содержит политику 90. Политика 90 содержит ряд защит безопасности, которые могут быть применены повсюду в компьютерной системе 5. Также политика 90 может содержать набор записей АСЕ, где каждая АСЕ может содержать идентификатор безопасности для пользователя или группы и маску доступа, которая определяет, какие операции для выполнения пользователем или группой предоставляются или отклоняются. В одной реализации политика может содержать набор масок предоставления доступа и набор масок отказа доступа для предопределенного набора пользователей и/или групп, которые могут иметь доступ к компьютерной системе 5. Предоставление права в политике дает это право пользователю или группе ко всем защищаемым объектам в пределах системы 5 независимо от разрешений, определенных ACL для этого объекта. Точно так же отказ в праве в политике блокирует это право для пользователя или группы по всем защищаемым объектам в пределах системы 5. В то время как реализации различных технологий были описаны в отношении использования масок, понятно, что другие технологии, подобные маскам, могут использоваться в других реализациях, таких как технологии, использующие логические пользовательские роли.
В одной реализации политика может быть применена повсюду по виртуальному серверу, который может быть определен как действительный компьютер, который находится на сервере, например, на сервере протокола передачи гипертекста (HTTP), но представляется пользователю как отдельный сервер. Несколько виртуальных серверов могут находиться на одном компьютере, причем каждый способен исполнять свои собственные программы и каждый с индивидуализированным доступом к устройствам ввода и периферийным устройствам. У каждого действительного сервера могут быть свое собственное доменное имя и IP адрес. Хотя различные реализации описаны здесь в отношении компьютерной системы 5 или виртуального сервера, другие реализации могут быть применены к совокупности сайтов, конкретному сайту, библиотеке в пределах сайта или конкретному элементу или документу. Как таковые, реализации различных технологий, описанных здесь, включая функциональность модуля 46 авторизации, могут быть применены на любом уровне гранулярности в пределах компьютерной системы 5.
Политика 90 может управляться центральным администратором, в то время как ACL 42 может управляться администратором сайта. В одной реализации центральному администратору может быть запрещено обращаться к АCL 42, в то время как администратору сайта запрещено обращаться к политике 90. Таким образом, реализации различных описанных технологий здесь предусматривают способ для центрального администратора, чтобы реализовать единую политику безопасности по всей компьютерной системе 5. Реализации различных технологий, описанных здесь, также предоставляют способ центральному администратору, чтобы делегировать текущее управление безопасностью администраторам сайтов, сохраняя способность контролировать то, кто имеет и кто не имеет доступа к системе 5.
Фиг.2 иллюстрирует блок-схему способа 200 для управления доступом к одному или более объектам в соответствии с различными реализациями технологий, описанных здесь. На этапе 210 модуль 44 аутентификации получает от пользователя запрос на обращение к объекту. По получении запроса аутентифицируется идентичность пользователя (этап 220). Идентичность пользователя может быть аутентифицирована любым типом процесса аутентификации, включая использование паролей, сертификатов, биометрии и т.п. В одной реализации модуль 44 аутентификации просматривает и аутентифицирует все SID, ассоциированные с пользователем (этап 220). Как только SID пользователя аутентифицированы, права пользователя на доступ к объекту могут быть определены посредством модуля 46 авторизации. Права пользователя могут варьироваться в рамках чтения, вставки, обновления, удаления и т.п.
На этапе 230 выполняется определение относительно того, определены ли какие-либо из SID пользователя в политике для компьютерной системы 5, содержащей объект, который запрашивается. В одной реализации выполняется определение относительно того, предоставляет ли политика пользователю права на доступ к компьютерной системе 5. В другой реализации выполняется определение относительно виртуального сервера, содержащего объект. Если политика не существует, то обработка продолжается на этапе 280, на котором выполняется определение относительно того, предоставляет ли АСL для объекта права любому из SID пользователя.
Если политика существует, то обработка продолжается на этапе 240, на котором выполняется определение относительно того, отказывает ли политика любому из SID пользователя в доступе к компьютерной системе 5. Если политика отказывает каким-либо из SID пользователя в доступе к компьютерной системе 5, то пользователю отказывается в доступе к запрошенному объекту (этап 250). Если политика не отказывает никакому из SID пользователя в доступе к компьютерной системе 5, то обработка продолжается на этапе 260, на котором выполняется определение относительно того, предоставляет ли политика любым из SID пользователя права доступа к компьютерной системе 5. Если политика предоставляет любым из SID пользователя права доступа к компьютерной системе 5, то пользователю предоставляется доступ к запрошенному объекту (этап 270).
С другой стороны, если политика не отказывает и не предоставляет ни одному из SID пользователя права на доступ к объекту, то обработка продолжается на этапе 280, на котором выполняется определение относительно того, предоставляет ли АCL для объекта любым из SID пользователя права доступа к объекту. Если ACL предоставляет любому из SID пользователя права на доступ к объекту, то пользователю предоставляется доступ к запрошенному объекту. Однако если никакая АСЕ не существует в ACL ни для одного из SID пользователя, то пользователю отказывается в доступе к запрошенному объекту (этап 290).
Таким образом, если политика отказывает пользователю в правах на доступ к компьютерной системе 5, то пользователю отказывается в правах на доступ к объекту, содержащемуся в компьютерной системе 5, независимо от того, предоставляет ли ACL пользователю права на доступ к объекту или нет. Аналогично, если политика предоставляет пользователю права на доступ к компьютерной системе 5, то пользователю предоставляются права на доступ к объекту, независимо от того, предоставляет ли ACL пользователю права на доступ к объекту или нет. Как альтернатива компьютерной системе 5, различные реализации технологий, описанных здесь, могут также быть применены к виртуальному серверу, содержащему объект.
В одной реализации во время выполнения, маска доступа, определенная политикой, может быть объединена с маской доступа, определенной ACL, чтобы генерировать эффективный набор разрешений для пользователя. Фиг. 3 иллюстрирует блок-схему 300 того, как различные реализации технологий, описанных здесь, могут генерировать эффективный набор разрешений, объединяя маску доступа политики для системы, содержащей объект, с пользовательской маской 320 доступа для этого объекта и маской 330 группового доступа для этого объекта. Следующее описание блок-схемы 300 приведено в отношении способа 200 по фиг.2. Однако должно быть понятно, что операции, проиллюстрированные на блок-схеме 300, не обязательно ограничены выполнением способа 200. Дополнительно должно быть понято, что в то время как блок-схема 300 операций указывает конкретный порядок выполнения операций, операции могли бы быть выполнены в отличающемся порядке в других реализациях.
Маска 310 доступа политики определяет, имеет ли конкретный пользователь или группа определенные права на объект. Такие права включают в себя права «ЧТЕНИЕ», «ВСТАВКА», «ОБНОВЛЕНИЕ», «УДАЛЕНИЕ» и «ETC» («и т.д.»). Право «ЕТС» может представить другие права, такие как «ПРОСМОТР ЭЛЕМЕНТА», «ОТКРЫТИЕ ЭЛЕМЕНТА», «ПРИНЯТИЕ ЭЛЕМЕНТА», «СОЗДАНИЕ СПИСКА», «СОЗДАНИЕ ПОДКАТАЛОГА ВЕБ-УЗЛА», «ПРОСМОТР ХРОНОЛОГИИ ВЕРСИИ», «УДАЛЕНИЕ ВЕРСИИ», «УПРАВЛЕНИЕ РАЗРЕШЕНИЯМИ» и т.п. В одной реализации маска 310 доступа политики определяет набор прав, которые были предоставлены, как обозначено "галочкой" (меткой выбора) под столбцом G, и набор прав, в которых отказано, как обозначено меткой выбора под столбцом D. Как показано на фиг.3, право «ЧТЕНИЕ» обозначено как предоставленное, право «УДАЛЕНИЕ» обозначено как отказанное и право «ЕТС» обозначено как предоставленное. Маска 310 доступа политики не содержит указаний относительно прав «ВСТАВКА» и «ОБНОВЛЕНИЕ».
Маска 320 пользовательского доступа определяет только права, которые предоставлены. Для этого конкретного примера только право «ЧТЕНИЕ» и право «ВСТАВКА» предоставлено, как обозначено метками выбора под столбцом G. Подобно маске 320 пользовательского доступа, маска 330 группового доступа также определяет только те права, которые предоставлены. Для этого конкретного примера только право «ЧТЕНИЕ», право «ОБНОВЛЕНИЕ» и право «УДАЛЕНИЕ» были предоставлены, как обозначено метками выбора под столбцом G.
Во время исполнения осуществляется слияние маски 310 доступа политики с маской 320 пользовательского доступа и маской 330 группового доступа, чтобы генерировать эффективный набор разрешений 340 для пользователя. После операции слияния эффективный набор разрешений 340 указывает, что предоставлено право «ЧТЕНИЕ», как определено маской 310 доступа политики и маской 320 пользовательского доступа. Право «ВСТАВКА» также предоставлено, как определено пользовательской маской 320 доступа. Право «ОБНОВЛЕНИЕ» также предоставлено, как определено маской 330 группового доступа. Право «УДАЛЕНИЕ», однако, отклонено, как определено маской 310 доступа политики 310, даже при том, что оно предоставлено маской 330 группового доступа. Аналогично право «ЕТС» предоставлено, как определено маской 310 доступа политики, даже при том, что ни пользовательская маска 320 доступа, ни маска 330 группового доступа не предоставили доступа к праву «ЕТС».
Хотя заявленное изобретение было описано в терминах, специфических для структурных признаков и/или методологических действий, понятно, что заявленное изобретение, определенное в приложенной формуле изобретения, не ограничивается обязательным образом конкретными признаками или действиями, описанными выше. Скорее конкретные признаки и действия, описанные выше, раскрыты в качестве примерных форм реализации пунктов формулы изобретения.
Claims (11)
1. Способ для управления запросом от пользователя на доступ к объекту, содержащий:
аутентификацию идентичности пользователя;
если идентичность пользователя аутентифицирована:
определение, существует ли политика для одного или более идентификаторов защиты, ассоциированных с пользователем, причем пользователю запрещено осуществлять доступ к политике;
если политика существует и политика отказывает в доступе к объекту, то отказ в доступе к объекту независимо от списка управления доступом для объекта;
если политика существует и политика предоставляет доступ к объекту, то предоставление доступа к объекту независимо от списка управления доступом для объекта;
если политика не существует, то определение, предоставлен ли пользователю доступ к объекту посредством списка управления доступом (ACL) для объекта, причем список управления доступом управляется администратором сайта; и
если идентичность пользователя не аутентифицирована, то отказ в доступе к объекту, причем центральному администратору запрещен доступ к списку управления доступом, и администратору сайта запрещен доступ к политике.
аутентификацию идентичности пользователя;
если идентичность пользователя аутентифицирована:
определение, существует ли политика для одного или более идентификаторов защиты, ассоциированных с пользователем, причем пользователю запрещено осуществлять доступ к политике;
если политика существует и политика отказывает в доступе к объекту, то отказ в доступе к объекту независимо от списка управления доступом для объекта;
если политика существует и политика предоставляет доступ к объекту, то предоставление доступа к объекту независимо от списка управления доступом для объекта;
если политика не существует, то определение, предоставлен ли пользователю доступ к объекту посредством списка управления доступом (ACL) для объекта, причем список управления доступом управляется администратором сайта; и
если идентичность пользователя не аутентифицирована, то отказ в доступе к объекту, причем центральному администратору запрещен доступ к списку управления доступом, и администратору сайта запрещен доступ к политике.
2. Способ по п.1, дополнительно содержащий определение, отказано ли пользователю в доступе или предоставлен ли пользователю доступ к серверу, который содержит объект.
3. Способ по п.2, в котором сервер представляет собой, по меньшей мере, одно из виртуального сервера и сервера протокола передачи гипертекста (HTTP).
4. Машиночитаемый носитель, содержащий сохраненные на нем исполняемые компьютером инструкции, которые, при исполнении компьютером, заставляют компьютер выполнять:
аутентификацию идентичности пользователя;
если идентичность пользователя аутентифицирована:
определение, существует ли политика для одного или более идентификаторов защиты, ассоциированных с пользователем, причем пользователю запрещено осуществлять доступ к политике;
если политика существует и политика отказывает в доступе к объекту, то отказ в доступе к объекту независимо от списка управления доступом для объекта;
если политика существует и политика предоставляет доступ к объекту, то предоставление доступа к объекту независимо от списка управления доступом для объекта;
если политика не существует, то определение, предоставлен ли пользователю доступ к объекту посредством списка управления доступом (ACL) для объекта, причем список управления доступом управляется администратором сайта; и
если идентичность пользователя не аутентифицирована, то отказ в доступе к объекту, причем центральному администратору запрещен доступ к списку управления доступом, и администратору сайта запрещен доступ к политике.
аутентификацию идентичности пользователя;
если идентичность пользователя аутентифицирована:
определение, существует ли политика для одного или более идентификаторов защиты, ассоциированных с пользователем, причем пользователю запрещено осуществлять доступ к политике;
если политика существует и политика отказывает в доступе к объекту, то отказ в доступе к объекту независимо от списка управления доступом для объекта;
если политика существует и политика предоставляет доступ к объекту, то предоставление доступа к объекту независимо от списка управления доступом для объекта;
если политика не существует, то определение, предоставлен ли пользователю доступ к объекту посредством списка управления доступом (ACL) для объекта, причем список управления доступом управляется администратором сайта; и
если идентичность пользователя не аутентифицирована, то отказ в доступе к объекту, причем центральному администратору запрещен доступ к списку управления доступом, и администратору сайта запрещен доступ к политике.
5. Машиночитаемый носитель по п.4, причем сервер представляет собой виртуальный сервер.
6. Машиночитаемый носитель по п.4, причем сервер представляет собой сервер протокола передачи гипертекста (HTTP).
7. Память для хранения данных для доступа прикладной программой, исполняемой на процессоре, причем память содержит структуру данных, сохраненную в памяти, при этом структура данных содержит политику для доступа к виртуальному серверу, причем политика определяет одно или более разрешений для, по меньшей мере, одного из предоставления доступа или отказа в доступе к объекту, содержащемуся на виртуальном сервере, для аутентифицированного пользователя, независимо от списка управления доступом для объекта, причем центральному администратору запрещен доступ к списку управления доступом, и администратору сайта запрещен доступ к политике.
8. Память по п.7, причем виртуальный сервер находится на сервере протокола передачи гипертекста (HTTP).
9. Память по п.7, причем политика содержит маску доступа, которая содержит набор масок предоставления доступа для определения предварительно заданного набора пользователей, которым предоставлен доступ к виртуальному серверу.
10. Память по п.7, в которой политика содержит маску доступа, которая содержит набор масок отказа в доступе для определения предварительно заданного набора пользователей, которым отказано в доступе к виртуальному серверу.
11. Память по п.7, в которой список управления доступом содержит набор масок предоставления доступа для определения предварительно заданного набора пользователей, которым предоставлен доступ к объекту.
Applications Claiming Priority (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
US11/325,930 | 2006-01-05 | ||
US11/325,930 US20070156691A1 (en) | 2006-01-05 | 2006-01-05 | Management of user access to objects |
Publications (2)
Publication Number | Publication Date |
---|---|
RU2008127360A RU2008127360A (ru) | 2010-01-10 |
RU2430413C2 true RU2430413C2 (ru) | 2011-09-27 |
Family
ID=38225843
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
RU2008127360/08A RU2430413C2 (ru) | 2006-01-05 | 2007-01-04 | Управление пользовательским доступом к объектам |
Country Status (7)
Country | Link |
---|---|
US (1) | US20070156691A1 (ru) |
EP (1) | EP1974311A4 (ru) |
JP (1) | JP2009522694A (ru) |
KR (1) | KR20080083131A (ru) |
CN (1) | CN101366040B (ru) |
RU (1) | RU2430413C2 (ru) |
WO (1) | WO2007081785A1 (ru) |
Cited By (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
RU2607276C2 (ru) * | 2011-10-05 | 2017-01-10 | МАЙКРОСОФТ ТЕКНОЛОДЖИ ЛАЙСЕНСИНГ, ЭлЭлСи | Идентификация уровня совместного использования |
RU2659743C1 (ru) * | 2017-02-08 | 2018-07-03 | Акционерное общество "Лаборатория Касперского" | Система и способ контроля доступа на основе ACL |
RU2691211C2 (ru) * | 2014-03-20 | 2019-06-11 | МАЙКРОСОФТ ТЕКНОЛОДЖИ ЛАЙСЕНСИНГ, ЭлЭлСи | Технологии для обеспечения сетевой безопасности через динамически выделяемые учетные записи |
Families Citing this family (25)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
NO326590B1 (no) * | 2007-04-16 | 2009-01-19 | Kubekit As | Fremgangsmate og anordning for verifikasjon av informasjonstilgang i IKT-system med flere sikkerhetsdimensjoner og sikkerhetsniva. |
US20090157686A1 (en) * | 2007-12-13 | 2009-06-18 | Oracle International Corporation | Method and apparatus for efficiently caching a system-wide access control list |
US9172707B2 (en) * | 2007-12-19 | 2015-10-27 | Microsoft Technology Licensing, Llc | Reducing cross-site scripting attacks by segregating HTTP resources by subdomain |
US9047485B2 (en) * | 2008-03-12 | 2015-06-02 | International Business Machines Corporation | Integrated masking for viewing of data |
US8533775B2 (en) * | 2008-06-13 | 2013-09-10 | Hewlett-Packard Development Company, L.P. | Hierarchical policy management |
US8990896B2 (en) | 2008-06-24 | 2015-03-24 | Microsoft Technology Licensing, Llc | Extensible mechanism for securing objects using claims |
FR2934392B1 (fr) * | 2008-07-22 | 2010-08-13 | Jean Patrice Glafkides | Procede pour gerer des objets accessibles a des utilisateurs et dispositif informatique implique par la mise en oeuvre du procede |
US8689289B2 (en) * | 2008-10-02 | 2014-04-01 | Microsoft Corporation | Global object access auditing |
US8108406B2 (en) * | 2008-12-30 | 2012-01-31 | Expanse Networks, Inc. | Pangenetic web user behavior prediction system |
US8654659B2 (en) * | 2009-12-23 | 2014-02-18 | Citrix Systems, Inc. | Systems and methods for listening policies for virtual servers of appliance |
US8689004B2 (en) | 2010-11-05 | 2014-04-01 | Microsoft Corporation | Pluggable claim providers |
EP2466853B1 (en) * | 2010-12-17 | 2014-10-08 | Alcatel Lucent | Control of connection between devices for controlling the initiation, routing and security of connections between devices |
US8429191B2 (en) * | 2011-01-14 | 2013-04-23 | International Business Machines Corporation | Domain based isolation of objects |
US8983985B2 (en) | 2011-01-28 | 2015-03-17 | International Business Machines Corporation | Masking sensitive data of table columns retrieved from a database |
US8930410B2 (en) | 2011-10-03 | 2015-01-06 | International Business Machines Corporation | Query transformation for masking data within database objects |
US9329784B2 (en) * | 2011-10-13 | 2016-05-03 | Microsoft Technology Licensing, Llc | Managing policies using a staging policy and a derived production policy |
US9189643B2 (en) | 2012-11-26 | 2015-11-17 | International Business Machines Corporation | Client based resource isolation with domains |
US9836596B2 (en) * | 2015-07-08 | 2017-12-05 | Google Inc. | Methods and systems for controlling permission requests for applications on a computing device |
CN108628879B (zh) * | 2017-03-19 | 2023-04-07 | 上海格尔安全科技有限公司 | 一种带优先级策略的访问控制构造的检索方法 |
US10630695B2 (en) | 2017-06-29 | 2020-04-21 | Amazon Technologies, Inc. | Security policy monitoring service |
US10757128B2 (en) | 2017-06-29 | 2020-08-25 | Amazon Technologies, Inc. | Security policy analyzer service and satisfiability engine |
US10922423B1 (en) * | 2018-06-21 | 2021-02-16 | Amazon Technologies, Inc. | Request context generator for security policy validation service |
US11483317B1 (en) | 2018-11-30 | 2022-10-25 | Amazon Technologies, Inc. | Techniques for analyzing security in computing environments with privilege escalation |
US11627126B2 (en) * | 2020-08-20 | 2023-04-11 | Bank Of America Corporation | Expedited authorization and access management |
EP4092556A1 (en) * | 2021-05-20 | 2022-11-23 | Nordic Semiconductor ASA | Bus decoder |
Family Cites Families (20)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
DE69031191T2 (de) * | 1989-05-15 | 1998-02-12 | Ibm | System zur Steuerung von Zugriffsprivilegien |
JPH0771094B2 (ja) * | 1989-05-19 | 1995-07-31 | オムロン株式会社 | 通信ネットワークシステム |
US5187790A (en) * | 1989-06-29 | 1993-02-16 | Digital Equipment Corporation | Server impersonation of client processes in an object based computer operating system |
US5787427A (en) * | 1996-01-03 | 1998-07-28 | International Business Machines Corporation | Information handling system, method, and article of manufacture for efficient object security processing by grouping objects sharing common control access policies |
FR2745967B1 (fr) * | 1996-03-07 | 1998-04-17 | Bull Cp8 | Procede de securisation des acces d'une station a au moins un serveur et dispositif mettant en oeuvre le procede |
US5991879A (en) * | 1997-10-23 | 1999-11-23 | Bull Hn Information Systems Inc. | Method for gradual deployment of user-access security within a data processing system |
US6119153A (en) * | 1998-04-27 | 2000-09-12 | Microsoft Corporation | Accessing content via installable data sources |
US6832120B1 (en) * | 1998-05-15 | 2004-12-14 | Tridium, Inc. | System and methods for object-oriented control of diverse electromechanical systems using a computer network |
US6182142B1 (en) * | 1998-07-10 | 2001-01-30 | Encommerce, Inc. | Distributed access management of information resources |
US6330572B1 (en) * | 1998-07-15 | 2001-12-11 | Imation Corp. | Hierarchical data storage management |
US6785810B1 (en) * | 1999-08-31 | 2004-08-31 | Espoc, Inc. | System and method for providing secure transmission, search, and storage of data |
US6606659B1 (en) * | 2000-01-28 | 2003-08-12 | Websense, Inc. | System and method for controlling access to internet sites |
US6883101B1 (en) * | 2000-02-08 | 2005-04-19 | Harris Corporation | System and method for assessing the security posture of a network using goal oriented fuzzy logic decision rules |
US7096502B1 (en) * | 2000-02-08 | 2006-08-22 | Harris Corporation | System and method for assessing the security posture of a network |
US7260718B2 (en) * | 2001-04-26 | 2007-08-21 | International Business Machines Corporation | Method for adding external security to file system resources through symbolic link references |
US20020184516A1 (en) * | 2001-05-29 | 2002-12-05 | Hale Douglas Lavell | Virtual object access control mediator |
US7401235B2 (en) * | 2002-05-10 | 2008-07-15 | Microsoft Corporation | Persistent authorization context based on external authentication |
CN100437550C (zh) * | 2002-09-24 | 2008-11-26 | 武汉邮电科学研究院 | 一种以太网认证接入的方法 |
US7243105B2 (en) * | 2002-12-31 | 2007-07-10 | British Telecommunications Public Limited Company | Method and apparatus for automatic updating of user profiles |
JP4368184B2 (ja) * | 2003-11-19 | 2009-11-18 | 株式会社日立製作所 | ブラックリストによる緊急アクセス遮断装置 |
-
2006
- 2006-01-05 US US11/325,930 patent/US20070156691A1/en not_active Abandoned
-
2007
- 2007-01-04 RU RU2008127360/08A patent/RU2430413C2/ru not_active IP Right Cessation
- 2007-01-04 JP JP2008549568A patent/JP2009522694A/ja active Pending
- 2007-01-04 KR KR1020087016353A patent/KR20080083131A/ko not_active Application Discontinuation
- 2007-01-04 EP EP07717902A patent/EP1974311A4/en not_active Ceased
- 2007-01-04 WO PCT/US2007/000247 patent/WO2007081785A1/en active Application Filing
- 2007-01-04 CN CN2007800019129A patent/CN101366040B/zh not_active Expired - Fee Related
Cited By (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
RU2607276C2 (ru) * | 2011-10-05 | 2017-01-10 | МАЙКРОСОФТ ТЕКНОЛОДЖИ ЛАЙСЕНСИНГ, ЭлЭлСи | Идентификация уровня совместного использования |
RU2691211C2 (ru) * | 2014-03-20 | 2019-06-11 | МАЙКРОСОФТ ТЕКНОЛОДЖИ ЛАЙСЕНСИНГ, ЭлЭлСи | Технологии для обеспечения сетевой безопасности через динамически выделяемые учетные записи |
US10326795B2 (en) | 2014-03-20 | 2019-06-18 | Microsoft Technology Licensing, Llc | Techniques to provide network security through just-in-time provisioned accounts |
RU2659743C1 (ru) * | 2017-02-08 | 2018-07-03 | Акционерное общество "Лаборатория Касперского" | Система и способ контроля доступа на основе ACL |
Also Published As
Publication number | Publication date |
---|---|
KR20080083131A (ko) | 2008-09-16 |
US20070156691A1 (en) | 2007-07-05 |
WO2007081785A1 (en) | 2007-07-19 |
CN101366040A (zh) | 2009-02-11 |
RU2008127360A (ru) | 2010-01-10 |
EP1974311A4 (en) | 2010-04-07 |
JP2009522694A (ja) | 2009-06-11 |
CN101366040B (zh) | 2010-12-01 |
EP1974311A1 (en) | 2008-10-01 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
RU2430413C2 (ru) | Управление пользовательским доступом к объектам | |
US8646044B2 (en) | Mandatory integrity control | |
RU2501082C2 (ru) | Управление доступом к документам с использованием блокировок файла | |
KR101242312B1 (ko) | 낮은 권한으로 실행하는 인터넷 애플리케이션에 대한컴퓨터 구현 방법 | |
JP4414092B2 (ja) | 制限付きトークンを介した最小権限 | |
CN105917309B (zh) | 确定第一租户关于第二租户的许可 | |
US8898755B2 (en) | Trusted internet identity | |
US7065784B2 (en) | Systems and methods for integrating access control with a namespace | |
US7188254B2 (en) | Peer-to-peer authorization method | |
US9112864B2 (en) | Controlling access within a protected data environment | |
US7546640B2 (en) | Fine-grained authorization by authorization table associated with a resource | |
EP1503266B1 (en) | Zone based security administration for data items | |
US7496576B2 (en) | Isolated access to named resources | |
US8667578B2 (en) | Web management authorization and delegation framework | |
US20060193467A1 (en) | Access control in a computer system | |
US8307406B1 (en) | Database application security | |
US8359467B2 (en) | Access control system and method | |
US20070027872A1 (en) | Resource handling for taking permissions | |
US8819766B2 (en) | Domain-based isolation and access control on dynamic objects | |
US20070022091A1 (en) | Access based file system directory enumeration | |
JP2006107505A (ja) | アクセス認可のapi | |
Delessy et al. | Patterns for access control in distributed systems | |
JP2006107504A (ja) | 統合されたアクセス認可 | |
US8640244B2 (en) | Declared origin policy | |
Shaw et al. | Hive security |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PC41 | Official registration of the transfer of exclusive right |
Effective date: 20150526 |
|
MM4A | The patent is invalid due to non-payment of fees |
Effective date: 20180105 |