RU2430413C2 - Управление пользовательским доступом к объектам - Google Patents

Управление пользовательским доступом к объектам Download PDF

Info

Publication number
RU2430413C2
RU2430413C2 RU2008127360/08A RU2008127360A RU2430413C2 RU 2430413 C2 RU2430413 C2 RU 2430413C2 RU 2008127360/08 A RU2008127360/08 A RU 2008127360/08A RU 2008127360 A RU2008127360 A RU 2008127360A RU 2430413 C2 RU2430413 C2 RU 2430413C2
Authority
RU
Russia
Prior art keywords
access
policy
user
control list
denied
Prior art date
Application number
RU2008127360/08A
Other languages
English (en)
Other versions
RU2008127360A (ru
Inventor
Джеймс Ричард СТЕРМС (US)
Джеймс Ричард СТЕРМС
Деннис РАХАМИМОВ (US)
Деннис РАХАМИМОВ
Цзыи ВАН (US)
Цзыи ВАН
Original Assignee
Майкрософт Корпорейшн
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Майкрософт Корпорейшн filed Critical Майкрософт Корпорейшн
Publication of RU2008127360A publication Critical patent/RU2008127360A/ru
Application granted granted Critical
Publication of RU2430413C2 publication Critical patent/RU2430413C2/ru

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F17/00Digital computing or data processing equipment or methods, specially adapted for specific functions
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/62Protecting access to data via a platform, e.g. using keys or access control rules
    • G06F21/6218Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/101Access control lists [ACL]
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/21Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/2141Access rights, e.g. capability lists, access control lists, access tables, access matrices

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • General Engineering & Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • General Physics & Mathematics (AREA)
  • Databases & Information Systems (AREA)
  • Software Systems (AREA)
  • Health & Medical Sciences (AREA)
  • Bioethics (AREA)
  • General Health & Medical Sciences (AREA)
  • Signal Processing (AREA)
  • Computing Systems (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Data Mining & Analysis (AREA)
  • Mathematical Physics (AREA)
  • Storage Device Security (AREA)

Abstract

Изобретение относится к технологиям, способам, системам и устройствам для управления пользовательским запросом. Техническим результатом является упрощение доступа пользователя к данным с различной степенью доступа. При этом может быть выполнено определение относительно того, отказывают ли пользователю или предоставляют доступ к объекту, основываясь на политике доступа. Если пользователю не отказывают и не предоставляют доступ к объекту согласно политике, то выполняется определение относительно того, предоставляется ли пользователю доступ к объекту посредством списка управления доступом для объекта. Затем принимается решение относительно того, есть ли у пользователя доступ к объекту, как определено вышеуказанными этапами. 3 н. и 8 з.п.ф-лы, 3 ил.

Description

Предпосылки изобретения
При обращении с информацией часто желательно ограничить доступ к определенным частям информации таким образом, чтобы эти определенные части были доступны только для определенных авторизованных пользователей. Если информация содержится в физических документах (например, в напечатанной книге или бухгалтерских книгах), такие документы могут защищаться с использованием физического управления доступом, например замков или с помощью хранителей документов. Однако в сегодняшнем мире большое количество информации сохранено в форме цифровых данных. Цифровые данные могут быть легко созданы, изменены, скопированы, транспортированы и удалены, что приводит к быстрому увеличению огромных объемов цифровых данных, существующих в несметном числе местоположений. Подобно физическим документам, часто желательно ограничить доступ к частям цифровых данных. Однако имеющееся количество цифровых данных и простота создания, копирования, транспортировки, изменения и удаления цифровых данных делают защиту цифровых данных проблематичной.
Цифровые данные могут обычно храниться в файловых структурах. Файловая структура может быть иерархической системой хранения данных, в которой объекты, содержащие цифровые данные, могут храниться в папках. Объект может быть программой, процессом, файлом или событием. Объект также может иметь дескриптор защиты. Папки могут быть далее сохранены в других папках. К цифровым данным в объекте можно получить доступ на поэлементной основе.
Для данной файловой структуры список управления доступом (ACL) может быть назначен каждому объекту, причем ACL представляет собой структуру данных, которая указывает операционной системе компьютера, какие разрешения или права доступа каждый пользователь компьютера имеет по отношению к данному объекту. ACL может определить, что у конкретного пользователя или группы пользователей есть определенные разрешения, такие как чтение, запись или выполнение разрешений. Таким образом, в ответ на запрос доступа к объекту можно обратиться к ACL для объекта, чтобы определить разрешения, назначенные для объекта.
Администратор системы может изменить разрешения защиты по умолчанию, определенные в ACL, основываясь на требованиях доступа для конкретного объекта. Учитывая, что могут быть сотни, тысячи или даже миллионы объектов, процесс просмотра ACL для каждого объекта может быть неприемлемым по затратам и утомительным.
Далее, вложение групп делает затруднительным для администратора системы гарантировать, что только соответствующие пользователи имеют разрешения. Например, если ACL содержит запись для группы пользователей, всем пользователям в этой группе предоставляются разрешения, включая группы внутри групп. Соответственно, для администраторов системы может быть трудно гарантировать, что определенный пользователь или группа пользователей не имеют разрешений для объекта.
Сущность изобретения
Здесь описаны реализации различных технологий для того, чтобы управлять запросом от пользователя, чтобы получить доступ к объекту. В одной реализации выполняется определение относительно того, отказывается ли пользователю в доступе или предоставляется доступ к объекту, основываясь на политике (этап a). Если пользователю не отказывается и не предоставляется доступ к объекту согласно политике, то выполняется определение относительно того, предоставляет ли пользователю доступ к объекту список управления доступом (ACL) для объекта (этап b). Затем принимается решение относительно того, есть ли у пользователя доступ к объекту, как определено этапами (a) и (b).
В другой реализации выполняется определение относительно того, отказывается ли пользователю в доступе или предоставляется ли доступ к серверу, который содержит объект.
В еще одной реализации сервер является виртуальным сервером.
В еще одной реализации, если пользователю отказано в доступе к серверу согласно политике, то пользователю отказывается в доступе к объекту, даже если ACL предоставляет пользователю доступ к объекту.
В еще одной реализации, если пользователю предоставляется доступ к серверу согласно политике, то пользователю предоставляется доступ к объекту, даже если ACL не предоставил пользователю доступ к объекту.
Реализации различных методов также направлены на машиночитаемый носитель, содержащий сохраненные на нем выполняемые компьютером инструкции, которые, при выполнении компьютером, заставляют компьютер: (a) определять, отказывает ли политика для сервера, содержащего объект, или предоставляет пользовательский доступ к серверу, (b) если политика не отказывает и не предоставляет пользовательский доступ к серверу, то определять, предоставляет ли список управления доступом для объекта пользовательский доступ к объекту и (c) предоставлять или отказывать в пользовательском доступе к объекту, основываясь на этапах (a) и (b).
Реализации различных методов также направлены на память для хранения данных для доступа прикладной программой, исполняемой на процессоре. Память имеет структуру данных, сохраненную в памяти. Структура данных включает маску доступа для сервера. Маска доступа определяет одно или более разрешений для предоставления доступа или отказа в доступе к серверу.
Заявленное решение не ограничивается реализациями, которые преодолевают некоторые или все из отмеченных недостатков. Далее, этот раздел, описывающий сущность изобретения, предоставлен, чтобы ввести выбор понятий в упрощенной форме, которые дополнительно описаны ниже в разделе, относящемся к детальному описанию. Этот раздел, описывающий сущность изобретения, не предназначен, чтобы идентифицировать главные признаки или существенные признаки заявленного решения, и при этом он не предназначен, чтобы использоваться для ограничения объема заявленного решения.
Краткое описание чертежей
Фиг. 1 иллюстрирует схематичную диаграмму сетевой среды, в которой методы, описанные здесь, могут быть внедрены и осуществлены.
Фиг. 2 иллюстрирует блок-схему способа для управления доступом к одному или более объектам в соответствии с методами, описанными здесь.
Фиг. 3 иллюстрирует блок-схему того, как различные реализации методов, описанных здесь, могут генерировать эффективный набор разрешений путем слияния маски доступа политики с маской доступа ACL.
Детальное описание
Фиг. 1 иллюстрирует схематичную диаграмму сетевой среды 100, в которой методы, описанные здесь, могут быть внедрены и осуществлены. Сетевая среда 100 может включать в себя обычный настольный или серверный компьютер 5, который включает в себя центральный блок обработки (центральный процессор, CPU) 10, системную память 20 и системную шину 30, которая соединяет системную память 20 с центральным процессором 10. Системная память 20 может включать в себя память произвольного доступа (RAM, ОЗУ) 25 и постоянную память (ROM, ПЗУ) 28. Базовая система ввода/вывода, содержащая основные подпрограммы, которые помогают передавать информацию между компонентами в компьютере, например, во время запуска, могут быть сохранены в ROM 28. Вычислительная система 5 может далее включать запоминающее устройство 40 большой емкости для хранения операционной системы 45, прикладных программ и других программных модулей, которые описаны более детально ниже.
Специалистам в данной области техники должно быть понятно, что различное выполнение технологий, описанных здесь, может быть осуществлено в других конфигурациях компьютерной системы, включая серверы протокола передачи гипертекста (HTTP), переносные устройства, мультипроцессорные устройства, основанную на микропроцессорах или программируемую бытовую электронику, сетевые персональные компьютеры (PC), миникомпьютеры, универсальные компьютеры и т.п. Реализации различных технологий, описанных здесь, могут также быть осуществлены в распределенной вычислительной среде, где задачи выполняются локальными и удаленными устройствами обработки, которые связаны через коммуникационную сеть, например, проводными линиями связи, беспроводными линиями связи или их комбинациями. В распределенной вычислительной среде программные модули могут быть расположены как в локальных, так и в удаленных устройствах памяти.
Запоминающее устройство 40 большой емкости может быть связано с центральным процессором 10 через системную шину 30 и контроллер запоминающего устройства большой емкости (не показан). Запоминающее устройство 40 большой емкости и его ассоциированные машиночитаемые среды (носители) конфигурированы для обеспечения энергонезависимого хранилища для вычислительной системы 5. Хотя описание машиночитаемых носителей, содержащееся здесь, относится к запоминающему устройству большой емкости, такому как жесткий диск или дисковод для компакт-дисков, специалистам в данной области техники должно быть понятно, что машиночитаемые носители могут быть любыми носителями, к которым может получить доступ вычислительная система 5. Например, машиночитаемые носители могут включать в себя компьютерные носители данных и коммуникационные среды. Компьютерные носители данных включают в себя энергозависимые и энергонезависимые, сменные и несменные носители, реализованные любым методом или технологией для хранения информации, такой как считываемые компьютером инструкции, структуры данных, программные модули или другие данные.
Компьютерные носители данных далее включают, без ограничения указанным, RAM (ОЗУ), ROM (ПЗУ), стираемую программируемую постоянную память (EPROM), электрически стираемую программируемую постоянную память (EEPROM), флеш-память или другую твердотельную память, ПЗУ на компакт-дисках (CD-ROM), цифровые универсальные диски (DVD) или другое оптическое запоминающее устройство (ЗУ), магнитные кассеты, магнитную ленту, магнитное дисковое ЗУ или другие магнитные ЗУ или любой другой носитель, который может использоваться, чтобы хранить желательную информацию, и к которому может получить доступ вычислительная система 5.
Как кратко упомянуто выше, запоминающее устройство 40 большой емкости может содержать операционную систему 45, которая является подходящей для управления работой сетевого персонала или серверного компьютера. Операционная система 45 может быть Windows® XP, Mac OS® X, варианты Unix, такие как Linux® и BSD®, и т.п. Запоминающее устройство 40 большой емкости может также содержать один или более списков управления доступом (ACL) 42, которые используются для определения прав, которые могут иметь пользователи по отношению к объектам в запоминающем устройстве 40 большой емкости. Хотя только единственный ACL показан на фиг. 1, понятно, что ACL 42 может представлять несколько ACL, причем каждый ACL предоставляет одно или более пользовательских прав на объект, ассоциированный с этим ACL. Объекты могут обычно упоминаться как элементы или ресурсы. Объект может быть программой, процессом, файлом, событием или чем-нибудь еще, имеющим дескриптор защиты. Каждый ACL может включать структуру данных, обычно таблицу, содержащую записи управления доступом (АСЕ), которые определяют права пользователя или группы на данный объект. Каждый АСЕ содержит идентификатор защиты для пользователя или группы и маску доступа, которая определяет, какие операции для выполнения пользователем или группой разрешены, или в каких отказано. Маска доступа может содержать значение, которое определяет разрешения, которые допущены или отклонены в АСЕ списка ACL.
Как кратко упомянуто выше, запоминающее устройство 40 большой емкости может содержать модули. Программные модули в общем случае включают в себя подпрограммы, программы, компоненты, структуры данных и другие типы структур, которые выполняют специфические задачи или реализуют специфические абстрактные типы данных. Как правило, функциональные возможности модулей программы могут быть объединены или распределены, как желательно в различных реализациях.
В одной реализации запоминающее устройство 40 большой емкости содержит модуль 44 аутентификации и модуль 46 авторизации. Модуль 44 аутентификации конфигурирован для верификации идентичности пользователя. Например, пользователь может быть идентифицирован несколькими идентификаторами защиты (SID), причем каждый SID представляет собой структуру данных переменной длины, которая идентифицирует пользователя или различные группы, участником которых является пользователь. Также модуль 44 аутентификации может получать доступ к базе данных информации аутентификации, имеющей информацию, с которой SID должны сравниваться. База данных информации аутентификации (не показана) может быть сохранена в запоминающем устройстве 40 большой емкости. Различные реализации технологий, описанные здесь, не ограничены использованием SID, то есть идентичность пользователя может быть идентифицирована с использованием других типов идентификаторов, таких как пароли, сертификаты, биометрия и т.п. Процесс аутентификации может быть любым методом аутентификации, включая стандартный метод аутентификации, такой как метод аутентификации Kerebos, в котором Kerebos-клиент пользовательской компьютерной системы предоставляет имя пользователя и пароль на Kerebos-сервер домена администратора. Kerebos-сервер подтверждает имя пользователя и пароль, гарантирует, что пользователь имеет права доступа на основе «разрешено аутентифицировать» к запрошенной компьютерной система, и если так, то предоставляет «мандат» пользователю. Этот мандат используется всякий раз, когда этот пользователь пытается получить доступ к объекту компьютерной системы, по отношению к которой он был аутентифицирован. Если мандат действителен, то доступ к объекту может быть определен и авторизован в соответствии с ACL объекта и политикой системы, которая содержит объект. В противном случае в доступе отказывается. Этот процесс определения и авторизации будет описан более подробно в следующих абзацах. В одной реализации, как только идентичность пользователя аутентифицирована, права пользователя на доступ к объекту могут быть определены модулем 46 авторизации, который будет также описан более подробно ниже.
Модуль 44 аутентификации и/или модуль 46 авторизации могут быть любым типом программируемых кодов, таких как библиотека с динамическими связями (DLL), которая в общем случае определена как модуль исполняемого кода, который может быть загружен по требованию и связан во время исполнения и затем выгружен, когда код больше не нужен, динамические совместно используемые объекты и т.п.
Как проиллюстрировано на фиг. 1, вычислительная система 5 может работать в сетевой среде 100, использующей логические соединения с удаленными компьютерами через сеть 50, такую как Интернет, интранет или экстранет. Вычислительная система 5 может соединиться с сетью 50 через блок 60 сетевого интерфейса, соединенный с системной шиной 30. Понятно, что блок 60 сетевого интерфейса может также использоваться для соединения с другими типами сетей и удаленными компьютерными системами. Вычислительная система 5 может также включать в себя контроллер 70 ввода/вывода для приема и обработки ввода от ряда других устройств, включая клавиатуру, мышь или электронное перо (не показано). Контроллер 70 ввода/вывода может также обеспечить вывод на экран дисплея, на принтер или устройства вывода других типов.
В одной реализации вычислительная система 5 соединена с центральным ЗУ 80 конфигурации, которое содержит политику 90. Политика 90 содержит ряд защит безопасности, которые могут быть применены повсюду в компьютерной системе 5. Также политика 90 может содержать набор записей АСЕ, где каждая АСЕ может содержать идентификатор безопасности для пользователя или группы и маску доступа, которая определяет, какие операции для выполнения пользователем или группой предоставляются или отклоняются. В одной реализации политика может содержать набор масок предоставления доступа и набор масок отказа доступа для предопределенного набора пользователей и/или групп, которые могут иметь доступ к компьютерной системе 5. Предоставление права в политике дает это право пользователю или группе ко всем защищаемым объектам в пределах системы 5 независимо от разрешений, определенных ACL для этого объекта. Точно так же отказ в праве в политике блокирует это право для пользователя или группы по всем защищаемым объектам в пределах системы 5. В то время как реализации различных технологий были описаны в отношении использования масок, понятно, что другие технологии, подобные маскам, могут использоваться в других реализациях, таких как технологии, использующие логические пользовательские роли.
В одной реализации политика может быть применена повсюду по виртуальному серверу, который может быть определен как действительный компьютер, который находится на сервере, например, на сервере протокола передачи гипертекста (HTTP), но представляется пользователю как отдельный сервер. Несколько виртуальных серверов могут находиться на одном компьютере, причем каждый способен исполнять свои собственные программы и каждый с индивидуализированным доступом к устройствам ввода и периферийным устройствам. У каждого действительного сервера могут быть свое собственное доменное имя и IP адрес. Хотя различные реализации описаны здесь в отношении компьютерной системы 5 или виртуального сервера, другие реализации могут быть применены к совокупности сайтов, конкретному сайту, библиотеке в пределах сайта или конкретному элементу или документу. Как таковые, реализации различных технологий, описанных здесь, включая функциональность модуля 46 авторизации, могут быть применены на любом уровне гранулярности в пределах компьютерной системы 5.
Политика 90 может управляться центральным администратором, в то время как ACL 42 может управляться администратором сайта. В одной реализации центральному администратору может быть запрещено обращаться к АCL 42, в то время как администратору сайта запрещено обращаться к политике 90. Таким образом, реализации различных описанных технологий здесь предусматривают способ для центрального администратора, чтобы реализовать единую политику безопасности по всей компьютерной системе 5. Реализации различных технологий, описанных здесь, также предоставляют способ центральному администратору, чтобы делегировать текущее управление безопасностью администраторам сайтов, сохраняя способность контролировать то, кто имеет и кто не имеет доступа к системе 5.
Фиг.2 иллюстрирует блок-схему способа 200 для управления доступом к одному или более объектам в соответствии с различными реализациями технологий, описанных здесь. На этапе 210 модуль 44 аутентификации получает от пользователя запрос на обращение к объекту. По получении запроса аутентифицируется идентичность пользователя (этап 220). Идентичность пользователя может быть аутентифицирована любым типом процесса аутентификации, включая использование паролей, сертификатов, биометрии и т.п. В одной реализации модуль 44 аутентификации просматривает и аутентифицирует все SID, ассоциированные с пользователем (этап 220). Как только SID пользователя аутентифицированы, права пользователя на доступ к объекту могут быть определены посредством модуля 46 авторизации. Права пользователя могут варьироваться в рамках чтения, вставки, обновления, удаления и т.п.
На этапе 230 выполняется определение относительно того, определены ли какие-либо из SID пользователя в политике для компьютерной системы 5, содержащей объект, который запрашивается. В одной реализации выполняется определение относительно того, предоставляет ли политика пользователю права на доступ к компьютерной системе 5. В другой реализации выполняется определение относительно виртуального сервера, содержащего объект. Если политика не существует, то обработка продолжается на этапе 280, на котором выполняется определение относительно того, предоставляет ли АСL для объекта права любому из SID пользователя.
Если политика существует, то обработка продолжается на этапе 240, на котором выполняется определение относительно того, отказывает ли политика любому из SID пользователя в доступе к компьютерной системе 5. Если политика отказывает каким-либо из SID пользователя в доступе к компьютерной системе 5, то пользователю отказывается в доступе к запрошенному объекту (этап 250). Если политика не отказывает никакому из SID пользователя в доступе к компьютерной системе 5, то обработка продолжается на этапе 260, на котором выполняется определение относительно того, предоставляет ли политика любым из SID пользователя права доступа к компьютерной системе 5. Если политика предоставляет любым из SID пользователя права доступа к компьютерной системе 5, то пользователю предоставляется доступ к запрошенному объекту (этап 270).
С другой стороны, если политика не отказывает и не предоставляет ни одному из SID пользователя права на доступ к объекту, то обработка продолжается на этапе 280, на котором выполняется определение относительно того, предоставляет ли АCL для объекта любым из SID пользователя права доступа к объекту. Если ACL предоставляет любому из SID пользователя права на доступ к объекту, то пользователю предоставляется доступ к запрошенному объекту. Однако если никакая АСЕ не существует в ACL ни для одного из SID пользователя, то пользователю отказывается в доступе к запрошенному объекту (этап 290).
Таким образом, если политика отказывает пользователю в правах на доступ к компьютерной системе 5, то пользователю отказывается в правах на доступ к объекту, содержащемуся в компьютерной системе 5, независимо от того, предоставляет ли ACL пользователю права на доступ к объекту или нет. Аналогично, если политика предоставляет пользователю права на доступ к компьютерной системе 5, то пользователю предоставляются права на доступ к объекту, независимо от того, предоставляет ли ACL пользователю права на доступ к объекту или нет. Как альтернатива компьютерной системе 5, различные реализации технологий, описанных здесь, могут также быть применены к виртуальному серверу, содержащему объект.
В одной реализации во время выполнения, маска доступа, определенная политикой, может быть объединена с маской доступа, определенной ACL, чтобы генерировать эффективный набор разрешений для пользователя. Фиг. 3 иллюстрирует блок-схему 300 того, как различные реализации технологий, описанных здесь, могут генерировать эффективный набор разрешений, объединяя маску доступа политики для системы, содержащей объект, с пользовательской маской 320 доступа для этого объекта и маской 330 группового доступа для этого объекта. Следующее описание блок-схемы 300 приведено в отношении способа 200 по фиг.2. Однако должно быть понятно, что операции, проиллюстрированные на блок-схеме 300, не обязательно ограничены выполнением способа 200. Дополнительно должно быть понято, что в то время как блок-схема 300 операций указывает конкретный порядок выполнения операций, операции могли бы быть выполнены в отличающемся порядке в других реализациях.
Маска 310 доступа политики определяет, имеет ли конкретный пользователь или группа определенные права на объект. Такие права включают в себя права «ЧТЕНИЕ», «ВСТАВКА», «ОБНОВЛЕНИЕ», «УДАЛЕНИЕ» и «ETC» («и т.д.»). Право «ЕТС» может представить другие права, такие как «ПРОСМОТР ЭЛЕМЕНТА», «ОТКРЫТИЕ ЭЛЕМЕНТА», «ПРИНЯТИЕ ЭЛЕМЕНТА», «СОЗДАНИЕ СПИСКА», «СОЗДАНИЕ ПОДКАТАЛОГА ВЕБ-УЗЛА», «ПРОСМОТР ХРОНОЛОГИИ ВЕРСИИ», «УДАЛЕНИЕ ВЕРСИИ», «УПРАВЛЕНИЕ РАЗРЕШЕНИЯМИ» и т.п. В одной реализации маска 310 доступа политики определяет набор прав, которые были предоставлены, как обозначено "галочкой" (меткой выбора) под столбцом G, и набор прав, в которых отказано, как обозначено меткой выбора под столбцом D. Как показано на фиг.3, право «ЧТЕНИЕ» обозначено как предоставленное, право «УДАЛЕНИЕ» обозначено как отказанное и право «ЕТС» обозначено как предоставленное. Маска 310 доступа политики не содержит указаний относительно прав «ВСТАВКА» и «ОБНОВЛЕНИЕ».
Маска 320 пользовательского доступа определяет только права, которые предоставлены. Для этого конкретного примера только право «ЧТЕНИЕ» и право «ВСТАВКА» предоставлено, как обозначено метками выбора под столбцом G. Подобно маске 320 пользовательского доступа, маска 330 группового доступа также определяет только те права, которые предоставлены. Для этого конкретного примера только право «ЧТЕНИЕ», право «ОБНОВЛЕНИЕ» и право «УДАЛЕНИЕ» были предоставлены, как обозначено метками выбора под столбцом G.
Во время исполнения осуществляется слияние маски 310 доступа политики с маской 320 пользовательского доступа и маской 330 группового доступа, чтобы генерировать эффективный набор разрешений 340 для пользователя. После операции слияния эффективный набор разрешений 340 указывает, что предоставлено право «ЧТЕНИЕ», как определено маской 310 доступа политики и маской 320 пользовательского доступа. Право «ВСТАВКА» также предоставлено, как определено пользовательской маской 320 доступа. Право «ОБНОВЛЕНИЕ» также предоставлено, как определено маской 330 группового доступа. Право «УДАЛЕНИЕ», однако, отклонено, как определено маской 310 доступа политики 310, даже при том, что оно предоставлено маской 330 группового доступа. Аналогично право «ЕТС» предоставлено, как определено маской 310 доступа политики, даже при том, что ни пользовательская маска 320 доступа, ни маска 330 группового доступа не предоставили доступа к праву «ЕТС».
Хотя заявленное изобретение было описано в терминах, специфических для структурных признаков и/или методологических действий, понятно, что заявленное изобретение, определенное в приложенной формуле изобретения, не ограничивается обязательным образом конкретными признаками или действиями, описанными выше. Скорее конкретные признаки и действия, описанные выше, раскрыты в качестве примерных форм реализации пунктов формулы изобретения.

Claims (11)

1. Способ для управления запросом от пользователя на доступ к объекту, содержащий:
аутентификацию идентичности пользователя;
если идентичность пользователя аутентифицирована:
определение, существует ли политика для одного или более идентификаторов защиты, ассоциированных с пользователем, причем пользователю запрещено осуществлять доступ к политике;
если политика существует и политика отказывает в доступе к объекту, то отказ в доступе к объекту независимо от списка управления доступом для объекта;
если политика существует и политика предоставляет доступ к объекту, то предоставление доступа к объекту независимо от списка управления доступом для объекта;
если политика не существует, то определение, предоставлен ли пользователю доступ к объекту посредством списка управления доступом (ACL) для объекта, причем список управления доступом управляется администратором сайта; и
если идентичность пользователя не аутентифицирована, то отказ в доступе к объекту, причем центральному администратору запрещен доступ к списку управления доступом, и администратору сайта запрещен доступ к политике.
2. Способ по п.1, дополнительно содержащий определение, отказано ли пользователю в доступе или предоставлен ли пользователю доступ к серверу, который содержит объект.
3. Способ по п.2, в котором сервер представляет собой, по меньшей мере, одно из виртуального сервера и сервера протокола передачи гипертекста (HTTP).
4. Машиночитаемый носитель, содержащий сохраненные на нем исполняемые компьютером инструкции, которые, при исполнении компьютером, заставляют компьютер выполнять:
аутентификацию идентичности пользователя;
если идентичность пользователя аутентифицирована:
определение, существует ли политика для одного или более идентификаторов защиты, ассоциированных с пользователем, причем пользователю запрещено осуществлять доступ к политике;
если политика существует и политика отказывает в доступе к объекту, то отказ в доступе к объекту независимо от списка управления доступом для объекта;
если политика существует и политика предоставляет доступ к объекту, то предоставление доступа к объекту независимо от списка управления доступом для объекта;
если политика не существует, то определение, предоставлен ли пользователю доступ к объекту посредством списка управления доступом (ACL) для объекта, причем список управления доступом управляется администратором сайта; и
если идентичность пользователя не аутентифицирована, то отказ в доступе к объекту, причем центральному администратору запрещен доступ к списку управления доступом, и администратору сайта запрещен доступ к политике.
5. Машиночитаемый носитель по п.4, причем сервер представляет собой виртуальный сервер.
6. Машиночитаемый носитель по п.4, причем сервер представляет собой сервер протокола передачи гипертекста (HTTP).
7. Память для хранения данных для доступа прикладной программой, исполняемой на процессоре, причем память содержит структуру данных, сохраненную в памяти, при этом структура данных содержит политику для доступа к виртуальному серверу, причем политика определяет одно или более разрешений для, по меньшей мере, одного из предоставления доступа или отказа в доступе к объекту, содержащемуся на виртуальном сервере, для аутентифицированного пользователя, независимо от списка управления доступом для объекта, причем центральному администратору запрещен доступ к списку управления доступом, и администратору сайта запрещен доступ к политике.
8. Память по п.7, причем виртуальный сервер находится на сервере протокола передачи гипертекста (HTTP).
9. Память по п.7, причем политика содержит маску доступа, которая содержит набор масок предоставления доступа для определения предварительно заданного набора пользователей, которым предоставлен доступ к виртуальному серверу.
10. Память по п.7, в которой политика содержит маску доступа, которая содержит набор масок отказа в доступе для определения предварительно заданного набора пользователей, которым отказано в доступе к виртуальному серверу.
11. Память по п.7, в которой список управления доступом содержит набор масок предоставления доступа для определения предварительно заданного набора пользователей, которым предоставлен доступ к объекту.
RU2008127360/08A 2006-01-05 2007-01-04 Управление пользовательским доступом к объектам RU2430413C2 (ru)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
US11/325,930 2006-01-05
US11/325,930 US20070156691A1 (en) 2006-01-05 2006-01-05 Management of user access to objects

Publications (2)

Publication Number Publication Date
RU2008127360A RU2008127360A (ru) 2010-01-10
RU2430413C2 true RU2430413C2 (ru) 2011-09-27

Family

ID=38225843

Family Applications (1)

Application Number Title Priority Date Filing Date
RU2008127360/08A RU2430413C2 (ru) 2006-01-05 2007-01-04 Управление пользовательским доступом к объектам

Country Status (7)

Country Link
US (1) US20070156691A1 (ru)
EP (1) EP1974311A4 (ru)
JP (1) JP2009522694A (ru)
KR (1) KR20080083131A (ru)
CN (1) CN101366040B (ru)
RU (1) RU2430413C2 (ru)
WO (1) WO2007081785A1 (ru)

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
RU2607276C2 (ru) * 2011-10-05 2017-01-10 МАЙКРОСОФТ ТЕКНОЛОДЖИ ЛАЙСЕНСИНГ, ЭлЭлСи Идентификация уровня совместного использования
RU2659743C1 (ru) * 2017-02-08 2018-07-03 Акционерное общество "Лаборатория Касперского" Система и способ контроля доступа на основе ACL
RU2691211C2 (ru) * 2014-03-20 2019-06-11 МАЙКРОСОФТ ТЕКНОЛОДЖИ ЛАЙСЕНСИНГ, ЭлЭлСи Технологии для обеспечения сетевой безопасности через динамически выделяемые учетные записи

Families Citing this family (25)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
NO326590B1 (no) * 2007-04-16 2009-01-19 Kubekit As Fremgangsmate og anordning for verifikasjon av informasjonstilgang i IKT-system med flere sikkerhetsdimensjoner og sikkerhetsniva.
US20090157686A1 (en) * 2007-12-13 2009-06-18 Oracle International Corporation Method and apparatus for efficiently caching a system-wide access control list
US9172707B2 (en) * 2007-12-19 2015-10-27 Microsoft Technology Licensing, Llc Reducing cross-site scripting attacks by segregating HTTP resources by subdomain
US9047485B2 (en) * 2008-03-12 2015-06-02 International Business Machines Corporation Integrated masking for viewing of data
US8533775B2 (en) * 2008-06-13 2013-09-10 Hewlett-Packard Development Company, L.P. Hierarchical policy management
US8990896B2 (en) 2008-06-24 2015-03-24 Microsoft Technology Licensing, Llc Extensible mechanism for securing objects using claims
FR2934392B1 (fr) * 2008-07-22 2010-08-13 Jean Patrice Glafkides Procede pour gerer des objets accessibles a des utilisateurs et dispositif informatique implique par la mise en oeuvre du procede
US8689289B2 (en) * 2008-10-02 2014-04-01 Microsoft Corporation Global object access auditing
US8108406B2 (en) * 2008-12-30 2012-01-31 Expanse Networks, Inc. Pangenetic web user behavior prediction system
US8654659B2 (en) * 2009-12-23 2014-02-18 Citrix Systems, Inc. Systems and methods for listening policies for virtual servers of appliance
US8689004B2 (en) 2010-11-05 2014-04-01 Microsoft Corporation Pluggable claim providers
EP2466853B1 (en) * 2010-12-17 2014-10-08 Alcatel Lucent Control of connection between devices for controlling the initiation, routing and security of connections between devices
US8429191B2 (en) * 2011-01-14 2013-04-23 International Business Machines Corporation Domain based isolation of objects
US8983985B2 (en) 2011-01-28 2015-03-17 International Business Machines Corporation Masking sensitive data of table columns retrieved from a database
US8930410B2 (en) 2011-10-03 2015-01-06 International Business Machines Corporation Query transformation for masking data within database objects
US9329784B2 (en) * 2011-10-13 2016-05-03 Microsoft Technology Licensing, Llc Managing policies using a staging policy and a derived production policy
US9189643B2 (en) 2012-11-26 2015-11-17 International Business Machines Corporation Client based resource isolation with domains
US9836596B2 (en) * 2015-07-08 2017-12-05 Google Inc. Methods and systems for controlling permission requests for applications on a computing device
CN108628879B (zh) * 2017-03-19 2023-04-07 上海格尔安全科技有限公司 一种带优先级策略的访问控制构造的检索方法
US10630695B2 (en) 2017-06-29 2020-04-21 Amazon Technologies, Inc. Security policy monitoring service
US10757128B2 (en) 2017-06-29 2020-08-25 Amazon Technologies, Inc. Security policy analyzer service and satisfiability engine
US10922423B1 (en) * 2018-06-21 2021-02-16 Amazon Technologies, Inc. Request context generator for security policy validation service
US11483317B1 (en) 2018-11-30 2022-10-25 Amazon Technologies, Inc. Techniques for analyzing security in computing environments with privilege escalation
US11627126B2 (en) * 2020-08-20 2023-04-11 Bank Of America Corporation Expedited authorization and access management
EP4092556A1 (en) * 2021-05-20 2022-11-23 Nordic Semiconductor ASA Bus decoder

Family Cites Families (20)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE69031191T2 (de) * 1989-05-15 1998-02-12 Ibm System zur Steuerung von Zugriffsprivilegien
JPH0771094B2 (ja) * 1989-05-19 1995-07-31 オムロン株式会社 通信ネットワークシステム
US5187790A (en) * 1989-06-29 1993-02-16 Digital Equipment Corporation Server impersonation of client processes in an object based computer operating system
US5787427A (en) * 1996-01-03 1998-07-28 International Business Machines Corporation Information handling system, method, and article of manufacture for efficient object security processing by grouping objects sharing common control access policies
FR2745967B1 (fr) * 1996-03-07 1998-04-17 Bull Cp8 Procede de securisation des acces d'une station a au moins un serveur et dispositif mettant en oeuvre le procede
US5991879A (en) * 1997-10-23 1999-11-23 Bull Hn Information Systems Inc. Method for gradual deployment of user-access security within a data processing system
US6119153A (en) * 1998-04-27 2000-09-12 Microsoft Corporation Accessing content via installable data sources
US6832120B1 (en) * 1998-05-15 2004-12-14 Tridium, Inc. System and methods for object-oriented control of diverse electromechanical systems using a computer network
US6182142B1 (en) * 1998-07-10 2001-01-30 Encommerce, Inc. Distributed access management of information resources
US6330572B1 (en) * 1998-07-15 2001-12-11 Imation Corp. Hierarchical data storage management
US6785810B1 (en) * 1999-08-31 2004-08-31 Espoc, Inc. System and method for providing secure transmission, search, and storage of data
US6606659B1 (en) * 2000-01-28 2003-08-12 Websense, Inc. System and method for controlling access to internet sites
US6883101B1 (en) * 2000-02-08 2005-04-19 Harris Corporation System and method for assessing the security posture of a network using goal oriented fuzzy logic decision rules
US7096502B1 (en) * 2000-02-08 2006-08-22 Harris Corporation System and method for assessing the security posture of a network
US7260718B2 (en) * 2001-04-26 2007-08-21 International Business Machines Corporation Method for adding external security to file system resources through symbolic link references
US20020184516A1 (en) * 2001-05-29 2002-12-05 Hale Douglas Lavell Virtual object access control mediator
US7401235B2 (en) * 2002-05-10 2008-07-15 Microsoft Corporation Persistent authorization context based on external authentication
CN100437550C (zh) * 2002-09-24 2008-11-26 武汉邮电科学研究院 一种以太网认证接入的方法
US7243105B2 (en) * 2002-12-31 2007-07-10 British Telecommunications Public Limited Company Method and apparatus for automatic updating of user profiles
JP4368184B2 (ja) * 2003-11-19 2009-11-18 株式会社日立製作所 ブラックリストによる緊急アクセス遮断装置

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
RU2607276C2 (ru) * 2011-10-05 2017-01-10 МАЙКРОСОФТ ТЕКНОЛОДЖИ ЛАЙСЕНСИНГ, ЭлЭлСи Идентификация уровня совместного использования
RU2691211C2 (ru) * 2014-03-20 2019-06-11 МАЙКРОСОФТ ТЕКНОЛОДЖИ ЛАЙСЕНСИНГ, ЭлЭлСи Технологии для обеспечения сетевой безопасности через динамически выделяемые учетные записи
US10326795B2 (en) 2014-03-20 2019-06-18 Microsoft Technology Licensing, Llc Techniques to provide network security through just-in-time provisioned accounts
RU2659743C1 (ru) * 2017-02-08 2018-07-03 Акционерное общество "Лаборатория Касперского" Система и способ контроля доступа на основе ACL

Also Published As

Publication number Publication date
KR20080083131A (ko) 2008-09-16
US20070156691A1 (en) 2007-07-05
WO2007081785A1 (en) 2007-07-19
CN101366040A (zh) 2009-02-11
RU2008127360A (ru) 2010-01-10
EP1974311A4 (en) 2010-04-07
JP2009522694A (ja) 2009-06-11
CN101366040B (zh) 2010-12-01
EP1974311A1 (en) 2008-10-01

Similar Documents

Publication Publication Date Title
RU2430413C2 (ru) Управление пользовательским доступом к объектам
US8646044B2 (en) Mandatory integrity control
RU2501082C2 (ru) Управление доступом к документам с использованием блокировок файла
KR101242312B1 (ko) 낮은 권한으로 실행하는 인터넷 애플리케이션에 대한컴퓨터 구현 방법
JP4414092B2 (ja) 制限付きトークンを介した最小権限
CN105917309B (zh) 确定第一租户关于第二租户的许可
US8898755B2 (en) Trusted internet identity
US7065784B2 (en) Systems and methods for integrating access control with a namespace
US7188254B2 (en) Peer-to-peer authorization method
US9112864B2 (en) Controlling access within a protected data environment
US7546640B2 (en) Fine-grained authorization by authorization table associated with a resource
EP1503266B1 (en) Zone based security administration for data items
US7496576B2 (en) Isolated access to named resources
US8667578B2 (en) Web management authorization and delegation framework
US20060193467A1 (en) Access control in a computer system
US8307406B1 (en) Database application security
US8359467B2 (en) Access control system and method
US20070027872A1 (en) Resource handling for taking permissions
US8819766B2 (en) Domain-based isolation and access control on dynamic objects
US20070022091A1 (en) Access based file system directory enumeration
JP2006107505A (ja) アクセス認可のapi
Delessy et al. Patterns for access control in distributed systems
JP2006107504A (ja) 統合されたアクセス認可
US8640244B2 (en) Declared origin policy
Shaw et al. Hive security

Legal Events

Date Code Title Description
PC41 Official registration of the transfer of exclusive right

Effective date: 20150526

MM4A The patent is invalid due to non-payment of fees

Effective date: 20180105