SE0950322A1 - Ett system och förfarande för att styra policydistribuering med partiell evaluering - Google Patents
Ett system och förfarande för att styra policydistribuering med partiell evaluering Download PDFInfo
- Publication number
- SE0950322A1 SE0950322A1 SE0950322A SE0950322A SE0950322A1 SE 0950322 A1 SE0950322 A1 SE 0950322A1 SE 0950322 A SE0950322 A SE 0950322A SE 0950322 A SE0950322 A SE 0950322A SE 0950322 A1 SE0950322 A1 SE 0950322A1
- Authority
- SE
- Sweden
- Prior art keywords
- access control
- protected
- attributes
- policy
- operable
- Prior art date
Links
- 238000011156 evaluation Methods 0.000 title claims description 30
- 238000000034 method Methods 0.000 title claims description 30
- 230000006870 function Effects 0.000 claims description 61
- 230000003068 static effect Effects 0.000 claims description 21
- 238000004590 computer program Methods 0.000 claims description 9
- 230000009471 action Effects 0.000 claims description 8
- 230000008859 change Effects 0.000 claims description 5
- 230000004044 response Effects 0.000 claims description 3
- 210000000056 organ Anatomy 0.000 claims 1
- 230000008901 benefit Effects 0.000 description 12
- 230000008569 process Effects 0.000 description 8
- 238000010586 diagram Methods 0.000 description 5
- 230000014509 gene expression Effects 0.000 description 2
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 238000000926 separation method Methods 0.000 description 1
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/62—Protecting access to data via a platform, e.g. using keys or access control rules
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/62—Protecting access to data via a platform, e.g. using keys or access control rules
- G06F21/6218—Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/101—Access control lists [ACL]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/102—Entity profiles
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W28/00—Network traffic management; Network resource management
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Theoretical Computer Science (AREA)
- Computing Systems (AREA)
- Health & Medical Sciences (AREA)
- Bioethics (AREA)
- General Health & Medical Sciences (AREA)
- Software Systems (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Databases & Information Systems (AREA)
- Storage Device Security (AREA)
Description
30 2 Ett sätt är att distribuera alla policy till alla PDP. Detta är enkelt och hela företaget ser ut som en enda PDP för administratörerna. Att distribuera alla policy är emellertid ineffektivt, eftersom det finns en redundans i nätkommunikationerna som sänder policy som inte behövs vid varje PDP. Varje PDP kommer att ha en stor uppsättning policy att evaluera, vilket försämrar körtidsprestanda.
Att distribuera alla policy kan dessutom vara icke önskvärt, på grund av att policy kan vara känsliga/konfidentiella och de ska inte visas för varje PDP.
Ett annat sätt är att manuellt besluta vilka policy att sända till vilken PDP.
Detta representerar emellertid en administrativ redundans och är utsatt för fel.
Ett tredje sätt är att använda en deluppsättning av XACML för att styra distribuering, exempelvis har XACML-standarden en ”profil” (en ytterligare extra del av "appendix" kan vi säga) med vilken det är möjligt att begära en policy baserad på överensstämmelse med endast övernivåmålet. Detta representerar emellertid en administrativ redundans eftersom policy måste hållas i denna form.
För övrigt tillåter detta inte distribuering av någon XACML-policy eftersom policy måste vara i en speciell form där övernivåmålet används för distribueringsstyrning.
Dessutom är det utsatt för fel.
Sammanfattning av uppfinningen De ovan nämnda problemen löses med ett system drivbart för att styra policydistribuering med partiell evaluering i syfte att tillåta/neka åtkomst till ett skyddat organ enligt patentkrav 1. Systemet innefattar ett minnesorgan drivbart för att lagra alla åtkomststyrpolicyfunktioner för alla skyddade organ. Systemet innefattar dessutom ett vaktorgan drivbart för att vakta åtkomst till ett skyddat organ och att konstruera en åtkomststyrbegäran innefattande attribut avseende de skyddade organen. Systemet innefattar dessutom ett policybeslutsorgan anslutet till vaktorganet och drivbart för att mottaga åtkomststyrbegäran från vaktorganet.
Systemet innefattar dessutom ett policydistribueringsorgan anslutet till minnesorganet och till policybeslutsorganet. Policybeslutsorganet är dessutom drivbart för att insamla de statiska attributen för de skyddade organen, och att sända de statiska attributen till policydistribueringsorganet, vilket i sin tur är drivbart för att konstruera en partiell åtkomststyrbegäran från de statiska attributen för det skyddade organet och att utföra partiell evaluering mot åtkomststyrpolicyfunktionen lagrad i minnesorganet, resulterande i en förenklad 20 25 30 3 åtkomststyrpolicyfunktion. Policydistribueringsorganet är drivbart för att sända den förenklade åtkomststyrpolicyfunktionen till policybeslutsorganet, vilket i sin tur är drivbart för att använda den förenklade àtkomststyrpolicyfunktionen för att evaluera åtkomststyrbegäranden avseende det skyddade organet och att returnera ett svar tillåt/neka till vaktorganet.
Huvudfördelarna med detta system kan sammanfattas nedan. Policy distribueras automatiskt till den rätta resursen/skyddade organet utan administratörens ingripande eller koordination. Det fungerar för varje slag av XACML-policy, fastän vissa policy kan ”förenklas” mer än andra. Vi erhåller en konsoliderad policyvy för administratörerna för hela företaget. Varje PEP/vaktorgan kan dessutom erhålla en uppsättning för resurs/skyddat organ specifika policy som är belägna nära PEP och som är ”minimala” i det att de endast gäller den specifika resursen och alla statiska attributen har redan beräknats i policy.
En ytterligare fördel i detta sammanhang åstadkommes om varje skyddat organ är en resurs, ett subjekt, en aktion, en miljö eller en kombination av två eller flera av dessa alternativ.
Dessutom är det en fördel i detta sammanhang om systemet dessutom innefattar ett inmatningsorgan anslutet till minnesorganet och drivbart för att inmata en ny åtkomststyrpolicyfunktion eller att ändra en åtkomststyrpolicyfunktion i minnesorganet.
En ytterligare fördel i detta sammanhang åstadkommes om varje skyddat organ är anslutet till vaktorganet närmast det skyddade organet.
Dessutom är det en fördel i detta sammanhang om minnesorganet äri formen av en databas.
En ytterligare fördel i detta sammanhang åstadkommes om attributen är i formen av attribut vilka är närvarande, attribut vilka inte är närvarande och attribut vilka är odefinierade.
De ovan nämnda problemen löses dessutom med ett förfarande för att styra policydistribuering med partiell evaluering i syfte att tillåta/neka åtkomst till ett skyddat organ enligt patentkrav 7. Förfarandet utföres med hjälp av ett system.
Förfarandet innefattar stegen: - med hjälp av ett policybeslutsorgan anslutet till ett vaktorgan, båda ingående i systemet, att insamla de statiska attributen för det skyddade organet; 20 25 30 4 - att sända de statiska attributen till ett policydistribueringsorgan ingående i systemet och anslutet till policybeslutsorganet och till ett minnesorgan ingående i systemet och drivbart för att lagra alla åtkomststyrpolicyfunktioner för alla skyddade organ; - att konstruera en partiell åtkomststyrbegäran från de statiska attributen för det skyddade organet; - att utföra partiell evaluering mot åtkomststyrpolicyfunktionen lagrad i minnesorganet, resulterande i en förenklad åtkomststyrpolicyfunktion; - att sända den förenklade åtkomststyrpolicyfunktionen till policybeslutsorganet; - med hjälp av vaktorganet, att konstruera en åtkomststyrbegäran innefattande attribut avseende det skyddade organet; - att sända åtkomststyrbegäran till policybeslutsorganet; - att använda den förenklade åtkomststyrpolicyfunktionen för att evaluera åtkomststyrbegäranden avseende det skyddade organet; och - att returnera ett svar tillåt/neka till vaktorganet.
Huvudfördelarna med detta förfarande kan sammanfattas nedan. Policy distribueras automatiskt till den rätta resursen/skyddade organet utan administratörens ingripande eller koordination. Det fungerar för varje slag av XACML-policy, fastän vissa policy kan ”förenklas” mer än andra. Vi erhåller en konsoliderad policyvy för administratörerna för hela företaget. Varje PEP/vaktorgan kan dessutom erhålla en uppsättning för resurs/skyddat organ specifika policy som är belägna nära PEP och som är ”minimala” i det att de endast gäller den specifika resursen och alla statiska attributen har redan beräknats i policy.
En ytterligare fördel i detta sammanhang åstadkommes om varje skyddat organ är en resurs, ett subjekt, en aktion, en miljö eller en kombination av två eller flera av dessa alternativ.
Dessutom är det en fördel i detta sammanhang om förfarandet dessutom innefattar steget: - med hjälp av ett inmatningsorgan ingående i systemet och anslutet till minnesorganet, att inmata en ny åtkomststyrpolicyfunktion, eller att ändra en åtkomststyrpolicyfunktion i minnesorganet. 20 25 30 5 En ytterligare fördel i detta sammanhang åstadkommes om attributen är i formen av attribut vilka är närvarande, attribut vilka inte är närvarande och attribut vilka är odefinierade.
Dessutom är det en fördel i detta sammanhang om steget att utföra partiell evaluering utföres genom att ersätta attributen vilka är närvarande i den partiella åtkomststyrbegäran med värden i åtkomststyrpolicyfunktionen.
De ovan nämnda problemen löses dessutom med åtminstone en datorprogramprodukt enligt patentkrav 12. Den åtminstone ena datorprogramprodukten är direkt nedladdningsbar i det interna minnet hos åtminstone en digital dator och innefattar programvarukodpartier för att utföra stegen hos förfarandet enligt den föreliggande uppfinningen när nämnda åtminstone ena produkt köres på nämnda åtminstone ena dator.
Huvudfördelarna med denna datorprogramprodukt kan sammanfattas nedan. Policy distribueras automatiskt till den rätta resursen/skyddade organet utan administratörens ingripande eller koordination. Det fungerar för varje slag av XACML-policy, fastän vissa policy kan ”förenklas” mer än andra. Vi erhåller en konsoliderad policyvy för administratörerna för hela företaget. Varje PEP/vaktorgan kan dessutom erhålla en uppsättning för resurs/skyddat organ specifika policy som är belägna nära PEP och som är ”minimala” i det att de endast gäller den specifika resursen och alla statiska attributen har redan beräknats i policy.
Det skall påpekas att termen ”innefattar/innefattande” såsom den används i denna beskrivning är avsedd att beteckna närvaron av ett givet kännetecken, steg eller komponent, utan att utesluta närvaron av ett eller flera andra kännetecken, egenskaper, delar, steg, komponenter eller grupper därav.
Utföringsformer av uppfinningen kommer nu att beskrivas med en hänvisning till de bifogade ritningarna, där: Kortfattad beskrivning av ritningarna Fig. 1 visar ett blockschema på XACML-arkitekturen enligt teknikens ståndpunkt; Fig. 2 visar ett blockschema på ett system drivbart för att styra policydistribuering med partiell evaluering i syfte att tillåta/neka åtkomst till ett skyddat organ enligt den föreliggande uppfinningen; 20 25 30 6 Fig. 3 är ett flödesschema på ett förfarande för att styra policydistribuering med partiell evaluering i syfte att tillåta/neka åtkomst till ett skyddat organ enligt den föreliggande uppfinningen; och i Fig. 4 visar schematiskt ett antal datorprogramprodukter enligt den föreliggande uppfinningen.
Detaljerad beskrivning av de föredragna utföringsformerna l fig. 1 visas ett blockschema på XACML-arkitekturen 200, fastän förenklad, enligt teknikens ståndpunkt. Såsom angivits tidigare, är XACML ett åtkomststyrpolicyspråk. Ett försök att erhålla åtkomst till en resurs 202 beskrivs i termer av en ”Begäran”, som listar attributen för subjektet 204, resursen 202, aktionen och miljön 206. De flesta typerna av ”fakta” om subjektet 204, resursen 202, aktionen och miljön 206 kan beskrivas i termer av attribut. Ett attribut är en identifierare, en datatyp och ett värde. Det kan dessutom beskrivas såsom en variabel med ett namn (identifieraren), en datatyp och ett värde.
Begäran konstrueras av en policytillämpningspunkt, PEP 208. Syftet med en PEP 208 är att bevaka åtkomst till en resurs 202 och endast släppa igenom auktoriserade användare. Själva PEP 208 vet inte vem som är auktoriserad, snarare avger den begäran till en policybeslutspunkt, PDP 210, vilken innefattar policy om vilka begäranden som skall tillåtas respektive nekas. PDP 210 evaluerar policy och returnerar ett svar tillåtelse/neka till PEP 208. PEP 208 låter sedan antingen åtkomsten fortsätta eller stoppar den.
Det fundamentala syftet med denna arkitektur är att etablera separation av angelägenheter, det vill säga att differentiera mellan policybeslutsfattande och policytillämpning. Tillämpning är till sin natur specifik för en särskild resurs 202, under det att en beslutsmotor kan göras generell och återanvändbar.
Generellt kan policy vara packade i en trädform. Olika policy kombineras med användning av så kallade kombineringsalgoritmer vilka definierar vilka policy som har företräde framför andra.
I fig. 2 visas ett blockschema på ett system 10 drivbart för att styra policydistribuering med partiell evaluering i syfte att tillåta/neka åtkomst till ett skyddat organ 12 enligt den föreliggande uppfinningen. Systemet 10 innefattar ett minnesorgan 14 drivbart för att lagra alla åtkomststyrpolicyfunktioner för alla skyddade organ 12. Det påpekas att för enkelhets skull visas endast ett skyddat 20 25 30 7 organ 12 ifig. 2. Systemet 10 innefattar dessutom ett vaktorgan 16 anslutet till det skyddade organet 12 och drivbart för att vakta åtkomst till det skyddade organet 12 och att konstruera en åtkomststyrbegäran innefattande attribut avseende det skyddade organet 12. Såsom är uppenbart i fig. 2, innefattar systemet 10 dessutom ett policybeslutsorgan 18 anslutet till vaktorganet 16 och drivbart för att mottaga åtkomststyrbegäran från vaktorganet 16. Systemet 10 innefattar dessutom ett policydistribueringsorgan 20 anslutet till minnesorganet 14 och till policybeslutsorganet 18. Policybeslutsorganet 18 är i sin tur dessutom drivbart för att insamla de statiska attributen för det skyddade organet 12 och att sända de statiska attributen till policydistribueringsorganet 20. Policydistribueringsorganet 20 är dessutom drivbart för att konstruera en partiell åtkomststyrbegäran från de statiska attributen för det skyddade organet 12 och att utföra partiell evaluering mot åtkomststyrpolicyfunktionen lagrad i minnesorganet 14, resulterande i en förenklad åtkomststyrpolicyfunktion. Policydistribueringsorganet 20 är därefter drivbart för att sända den förenklade åtkomststyrpolicyfunktionen till policybeslutsorganet 18, vilket i sin tur är drivbart att använda den förenklade åtkomststyrpolicyfunktionen för att evaluera åtkomststyrbegäranden avseende det skyddade organet 12 och att returnera ett svar tillåta/neka till vaktorganet 16.
Enligt en föredragen utföringsform av systemet 10 är varje skyddat organ 12 en resurs, ett subjekt, en aktion, en miljö eller en kombination av två eller flera av dessa alternativ.
Dessutom, enligt en annan utföringsform innefattar systemet 10 dessutom ett inmatningsorgan 22 anslutet till minnesorganet 14 Üämför fig. 2). lnmatningsorganet 22 är drivbart för att inmata en ny åtkomststyrpolicyfunktion eller att ändra en åtkomststyrpolicyfunktion i minnesorganet 14.
Enligt en annan föredragen utföringsform av systemet 10 är varje skyddat organ 12 anslutet till vaktorganet 16 närmast det skyddade organet 12. Fastän det inte visas i fig. 2 ska det påpekas att det kan finnas flera skyddade organ 12 anslutna till samma vaktorgan 16.
Dessutom, enligt ett annat alternativ är minnesorganet 14 i formen av en databas 14.
Attributen kan vara uppdelade i attribut vilka är närvarande, attribut vilka inte är närvarande och attribut vilka är odefinierade. Eftersom dessa tre uppsättningar uppdelar uppsättningen möjliga attribut, är det endast nödvändigt att 20 25 30 8 definiera två av dem och den tredje är implicerat. Karakteristiskt är uppsättningen attribut vilka är närvarande och uppsättningen odefinierade attribut explicit listade i en faktisk begäran, men detta behöver inte alltid vara fallet. l fig. 3 visas ett flödesschema på ett förfarande för att styra policydistribuering med partiell evaluering i syfte att tillåta/neka åtkomst till ett skyddat organ 12 (jämför fig. 2) enligt den föreliggande uppfinningen. Förfarandet börjar vid blocket 50. Förfarandet fortsätter, vid blocket 52, med steget: med hjälp av policybeslutsorganet 18 anslutet till vaktorganet 16, att insamla de statiska attributen för det skyddade organet 12. Därefter fortsätter förfarandet, vid blocket 54, med steget: att sända de statiska attributen till policydistribueringsorganet 20 ingående i systemet 10 och anslutet till policybeslutsorganet 18 och till minnesorganet 14. Minnesorganet 14 är drivbart för att lagra alla åtkomststyrpolicyfunktioner för alla skyddade organ 12. Förfarandet fortsätter, vid blocket 56, med steget: att konstruera en partiell åtkomststyrbegäran från de statiska attributen för det skyddade organet 12. Detta utföres av policydistribueringsorganet 20. Därefter fortsätter förfarandet, vid blocket 58, med steget: att utföra partiell evaluering mot åtkomststyrpolicyfunktionen lagrad i minnesorganet 14, resulterande i en förenklad åtkomststyrpolicyfunktion. Detta utföres också av policydistribueringsorganet 20. Förfarandet fortsätter, vid blocket 60, med steget: att sända den förenklade åtkomststyrpolicyfunktionen till policybeslutsorganet 18. Detta utföres dessutom av policydistribueringsorganet 20.
Därefter fortsätter förfarandet, vid blocket 62, med steget: med hjälp av vaktorganet 16, att konstruera en åtkomststyrbegäran innefattande attribut avseende det skyddade organet 12. Förfarandet fortsätter, vid blocket 64, med steget: att sända åtkomststyrbegäran till policybeslutsorganet 18. Detta utföres av vaktorganet 16. Därefter fortsätter förfarandet, vid blocket 66, med steget: att använda den förenklade åtkomststyrpolicyfunktionen för att evaluera åtkomststyrbegäranden avseende det skyddade organet 12. Förfarandet fortsätter, vid blocket 68, med steget: att returnera ett svar tillät/neka till vaktorganet 16.
Detta utföres av policybeslutsorganet 18. Förfarandet är avslutat vid blocket 70.
Enligt en föredragen utföringsform av förfarandet är varje skyddat organ 12 en resurs, ett subjekt, en aktion, en miljö eller en kombination av två eller flera av dessa alternativ. 20 25 30 9 Enligt en annan utföringsform innefattar förfarandet dessutom steget: Med hjälp av inmatningsorganet 22 ingående i systemet 10 och anslutet till minnesorganet 14, att inmata en ny åtkomststyrpolicyfunktion eller att ändra en åtkomststyrpolicyfunktion i minnesorganet 14.
Dessutom kan attributen uppdelas i attribut vilka är närvarande, attribut vilka inte är närvarande och attribut vilka är odefinierade. Eftersom dessa tre uppsättningar uppdelar uppsättningen möjliga attribut, är det endast nödvändigt att definiera två av dem och den tredje är implicerad. Karakteristiskt är uppsättningen attribut vilka är närvarande och uppsättningen odefinierade attribut explicit listade i en faktisk begäran, men detta behöver inte alltid vara fallet.
Enligt en föredragen utföringsform av förfarandet, utföres steget att utföra partiell evaluering genom att ersätta attributen vilka är närvarande i den partiella åtkomststyrbegäran med vården i åtkomststyrpolicyfunktionen.
Partiell evaluering fungerar på ett åtkomststyrpolicyspråk. Policyspråket består av funktionsuttryck. Åtkomststyrpolicyn är ett funktionsuttryck bildat genom att kapsla funktionskomponenterna hos språket. Vid bladnivån ifunktionsträdet finns det referenser till attributen i åtkomststyrbegäran, så att valda attribut från åtkomststyrbegäran bildar ingångar till argumenten hos åtkomststyrpolicyfunktionen. Åtkomststyrpolicyn har således en form enligt nedan.
F1(F2(F3(A1, A2, ...), F4(A3, A4, ___), F5(A5, A6, ...), ...)) där F1, F2 och så vidare betecknar funktioner och A1, A2 och så vidare betecknar referenser till attribut i åtkomststyrbegäran. Varje funktion kan ha varje antal argument och funktionerna kan vara kapslade godtyckligt djupt. Den översta funktionen (F1 i detta fall) returnerar ett åtkomststyrbeslut Tillåt, Neka eller något av ett antal fel- eller diagnostikkoder. Kapslade funktioner kan returnera varje datatyp.
En partiell begäran är en åtkomststyrbegäran vilken inte innefattar alla attributen som förväntas i en fullständig åtkomststyrbegäran. Partiell evaluering utföres genom att ersätta attributen vilka är närvarande i den partiella begäran i åtkomststyrpolicyfunktionen och evaluera funktionen så långt som möjligt. Om exempelvis, i det ovan givna exemplet, A2, A5 och A6 är närvarande i den partiella begäran, men de andra attributen inte är det, kan funktionen ersättas enligt följande: 20 25 30 10 F1(F2(F3(A1, a2, ...), F4(A3, A4, ...), F5(a5, a6, ...), ...)) där a2, a5 och a6 betecknar värden för attributen A2, A5 respektive A6.
Det kan vara möjligt att förenkla funktionen ytterligare eftersom givet värdena för vissa attribut, kan vissa funktioner bestämmas oberoende på värdet av de andra argumenten. Exempelvis kan den Booleska funktionen OCH(A8, A9, A10) evalueras till Falsk om åtminstone ett av dess argument är Falskt.
Partiell evaluering resulterar således i en förenklad åtkomststyrpolicyfunktion, där delar av, eller den fullständiga, ursprungliga ätkomststyrpolicyfunktionen kan bestämmas. Exempelvis kan det ovan givna exemplet förenklas till en ny funktion: F1(F2(F6(A1, A4))) Den nya åtkomststyrpolicyfunktionen kommer att ge samma resultat såsom den ursprungliga för varje fullständig begäran, så länge som den fullständiga åtkomststyrbegäran innefattar attributen vilka definierades i den partiella begäran. ., 102,1 schematiskt enligt den föreliggande uppfinningen. I fig. 4 visas n olika digitala datorer 1001, ., 102,1, här visade iformen av CD-skivor. De olika datorprogramprodukterna 1021, I fig. 4 visas några datorprogramprodukter 1021, _. 100,1, där n är ett heltal. l fig. 4 visas n olika datorprogramprodukter 1021, .. 102,1 är direkt nedladdningsbara i det interna minnet hos de n olika datorerna 1001, 100,1. Varje datorprogramprodukt 1021, 102,1 innefattar programvarukodpartier för att utföra alla stegen enligt fig. 3, när 100,1. _, 102,, kan exempelvis vara i formen av produkten/produkterna 1021, 102,1 körs på datorerna 1001, _ Datorprogramprodukterna 1021, ._ disketter, RAM-skivor, magnetband, magneto-optiska skivor eller några andra lämpliga produkter.
Uppfinningen är inte begränsad till de beskrivna utföringsformerna. Det kommer att vara uppenbart för en fackman inom området att många olika modifieringar är möjliga inom omfattningen av de följande patentkraven.
Claims (12)
1. Ett system (10) drivbart för att styra policydistribuering med partiell evaluering i syfte att tillåta/neka åtkomst till ett skyddat organ (12), vilket system (10) innefattar ett minnesorgan (14) drivbart för att lagra alla åtkomststyrpolicyfunktioner för alla skyddade organ (12), ett vaktorgan (16) drivbart för att vakta åtkomst till ett skyddat organ (12) och att konstruera en åtkomststyrbegäran innefattande attribut avseende det skyddade organet (12), ett policybeslutsorgan (18) anslutet till vaktorganet (16) och drivbart för att mottaga åtkomststyrbegäran från vaktorganet (16), kännetecknat av att systemet (10) dessutom innefattar ett policydistribueringsorgan (20) anslutet till minnesorganet ( 14) och till policybeslutsorganet (18), varvid policybeslutsorganet (18) dessutom är drivbart för att insamla de statiska attributen för det skyddade organet (12) och att sända de statiska attributen till policydistribueringsorganet (20), vilket i sin tur är drivbart att konstruera en partiell åtkomststyrbegäran från de statiska attributen för det skyddade organet (12) och att utföra partiell evaluering mot åtkomststyrpolicyfunktionen lagrad i minnesorganet (14), resulterande i en förenklad åtkomststyrpolicyfunktion, varvid policydistribueringsorganet (20) är drivbart att sända den förenklade åtkomststyrpolicyfunktionen till policybeslutsorganet (18), vilket i sin tur är drivbart för att använda den förenklade åtkomststyrpolicyfunktionen för att evaluera åtkomststyrbegäranden avseende det skyddade organet (12) och att returnera ett svar tillåt/neka till vaktorganet (16).
2. Ett system (10) drivbart för att styra policydistribuering med partiell evaluering i syfte att tillåta/neka åtkomst till ett skyddat organ (12) enligt patentkravet 1, kännetecknat av att varje skyddat organ (12) är en resurs, ett subjekt, en aktion, en miljö eller en kombination av två eller flera av dessa alternativ.
3. Ett system (10) drivbart för att styra policydistribuering med partiell evaluering i syfte att tillåta/neka åtkomst till ett skyddat organ (12) enligt patentkravet 1 eller 2, kännetecknat av att systemet (10) dessutom innefattar ett inmatningsorgan (22) anslutet till minnesorganet (14) och drivbart för att inmata en 20 25 30 12 ny àtkomststyrpolicyfunktion eller att ändra en àtkomststyrpolicyfunktion i minnesorganet (14).
4. Ett system (10) drivbart för att styra policydistribuering med partiell evaluering i syfte att tillåta/neka åtkomst till ett skyddat organ (12) enligt något av patentkraven 1-3, kännetecknat av att varje skyddat organ (12) är anslutet till vaktorganet (16) närmast det skyddade organet (12).
5. Ett system (10) drivbart för att styra policydistribuering med partiell evaluering i syfte att tillåta/neka åtkomst till ett skyddat organ (12) enligt något av patentkraven 1-4, kännetecknat av att minnesorganet (14) är i formen av en databas (14).
6. Ett system (10) drivbart för att styra policydistribuering med partiell evaluering i syfte att tillåta/neka åtkomst till ett skyddat organ (12) enligt något av patentkraven 1-5, kännetecknat av att attributen är i formen av attribut vilka är närvarande, attribut vilka inte är närvarande och attribut vilka är odefinierade.
7. Ett förfarande för att styra, med hjälp av ett system (10), policydistribuering med partiell evaluering i syfte att tillåta/neka åtkomst till ett skyddat organ (12), vilket förfarande innefattar stegen: - med hjälp av ett policybeslutsorgan (18) anslutet till ett vaktorgan (16), båda ingående i systemet (10), att insamla de statiska attributen för det skyddade organet (12); - att sända de statiska attributen till ett policydistribueringsorgan (20) ingående i systemet ( 10) och anslutet till policybeslutsorganet (18) och till ett minnesorgan (14) ingående i systemet (10) och drivbart för att lagra alla åtkomststyrpolicyfunktioner för alla skyddade organ (12); - att konstruera en partiell åtkomststyrbegäran från de statiska attributen för det skyddade organet (12); - att utföra partiell evaluering mot åtkomststyrpolicyfunktionen lagrad i minnesorganet (14), resulterande i en förenklad àtkomststyrpolicyfunktion; - att sända den förenklade åtkomststyrpolicyfunktionen till policybeslutsorganet (18): 20 25 30 13 - med hjälp av vaktorganet (16), att konstruera en åtkomststyrbegäran innefattande attribut avseende det skyddade organet (12); - att sända åtkomststyrbegäran till policybeslutsorganet (18); - att använda den förenklade åtkomststyrpolicyfunktionen för att evaluera åtkomststyrbegäranden avseende det skyddade organet (12); och - att returnera ett svar tillåt/neka till vaktorganet (16).
8. Ett förfarande för att styra policydistribuering med partiell evaluering i syfte att tillåta/neka åtkomst till ett skyddat organ (12) enligt patentkravet 7, kännetecknat av att varje skyddat organ (12) är en resurs, ett subjekt, en aktion, en miljö eller en kombination av två eller flera av dessa alternativ.
9. Ett förfarande för att styra policydistribuering med partiell evaluering i syfte att tillåta/neka åtkomst till ett skyddat organ (12) enligt patentkravet 7 eller 8, kännetecknat av att förfarandet dessutom innefattar steget: - med hjälp av ett inmatningsorgan (22) ingående i systemet (10) och anslutet till minnesorganet (14), att inmata en ny åtkomststyrpolicyfunktion eller att ändra en åtkomststyrpolicyfunktion i minnesorganet (14).
10. Ett förfarande för att styra policydistribuering med partiell evaluering i syfte att tillåta/neka åtkomst till ett skyddat organ (12) enligt något av patentkraven 7-9, kännetecknat av att attributen är i formen av attribut vilka är närvarande, attribut vilka inte är närvarande och attribut vilka är odefinierade.
11. Ett förfarande för att styra policydistribuering med partiell evaluering i syfte att tillåta/neka åtkomst till ett skyddat organ (12) enligt något av patentkraven 7-10, kännetecknat av att steget att utföra partiell evaluering utföres genom att ersätta attributen vilka är närvarande i den partiella åtkomststyrbegäran med värden i åtkomststyrpolicyfunktionen.
12. Åtminstone en datorprogramprodukt (1021, 102,.) direkt nedladdningsbar i det interna minnet hos åtminstone en digital dator (1001, 100m), innefattande programvarukodpartier för att utföra stegen enligt patentkrav 7 14 när nämnda åtminstone ena produkt (1021, 102,1) köres på nämnda åtminstone ena dator(1OO1, 100n).
Priority Applications (5)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
SE0950322A SE534334C2 (sv) | 2009-05-07 | 2009-05-07 | Ett system och förfarande för att styra policydistribuering med partiell evaluering |
PCT/SE2010/050035 WO2010128926A1 (en) | 2009-05-07 | 2010-01-14 | A system and method for controlling policy distribution with partial evaluation |
EP10772328.0A EP2428018B1 (en) | 2009-05-07 | 2010-01-14 | A system and method for controlling policy distribution with partial evaluation |
US13/318,886 US20120066739A1 (en) | 2009-05-07 | 2010-01-14 | System and method for controlling policy distribution with partial evaluation |
EP19197309.8A EP3651430B1 (en) | 2009-05-07 | 2010-01-14 | A system and method for controlling policy distribution with partial evaluation |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
SE0950322A SE534334C2 (sv) | 2009-05-07 | 2009-05-07 | Ett system och förfarande för att styra policydistribuering med partiell evaluering |
Publications (2)
Publication Number | Publication Date |
---|---|
SE0950322A1 true SE0950322A1 (sv) | 2010-11-08 |
SE534334C2 SE534334C2 (sv) | 2011-07-12 |
Family
ID=43050274
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
SE0950322A SE534334C2 (sv) | 2009-05-07 | 2009-05-07 | Ett system och förfarande för att styra policydistribuering med partiell evaluering |
Country Status (4)
Country | Link |
---|---|
US (1) | US20120066739A1 (sv) |
EP (2) | EP3651430B1 (sv) |
SE (1) | SE534334C2 (sv) |
WO (1) | WO2010128926A1 (sv) |
Families Citing this family (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US8799986B2 (en) * | 2009-05-07 | 2014-08-05 | Axiomatics Ab | System and method for controlling policy distribution with partial evaluation |
US9646164B2 (en) | 2010-12-30 | 2017-05-09 | Aziomatics Ab | System and method for evaluating a reverse query |
WO2012091652A1 (en) * | 2010-12-30 | 2012-07-05 | Axiomatics Ab | A system and method for using partial evaluation for efficient remote attribute retrieval |
SE1051394A1 (sv) * | 2010-12-30 | 2011-10-13 | Axiomatics Ab | A system and method for evaluating a reverse query |
US9626452B2 (en) | 2011-05-05 | 2017-04-18 | Axiomatics Ab | Fine-grained database access-control policy enforcement using reverse queries |
EP2521066A1 (en) | 2011-05-05 | 2012-11-07 | Axiomatics AB | Fine-grained relational database access-control policy enforcement using reverse queries |
US8966576B2 (en) | 2012-02-27 | 2015-02-24 | Axiomatics Ab | Provisioning access control using SDDL on the basis of a XACML policy |
US9432375B2 (en) | 2013-10-10 | 2016-08-30 | International Business Machines Corporation | Trust/value/risk-based access control policy |
Family Cites Families (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US7051366B1 (en) * | 2000-06-21 | 2006-05-23 | Microsoft Corporation | Evidence-based security policy manager |
US9143405B2 (en) * | 2002-11-01 | 2015-09-22 | Telefonaktiebolaget L M Ericsson (Publ) | Method and system for policy-based control in a distributed network |
US20050166260A1 (en) * | 2003-07-11 | 2005-07-28 | Christopher Betts | Distributed policy enforcement using a distributed directory |
US20060200664A1 (en) * | 2005-03-07 | 2006-09-07 | Dave Whitehead | System and method for securing information accessible using a plurality of software applications |
WO2008046227A1 (en) * | 2006-10-20 | 2008-04-24 | Her Majesty The Queen, In Right Of Canada As Represented By The Minister Of Health Through The Public Health Agency Of Canada | Method and apparatus for software policy management |
EP1927930A1 (en) * | 2006-11-30 | 2008-06-04 | Sap Ag | Method and system for access control using resouce filters |
US8010991B2 (en) * | 2007-01-29 | 2011-08-30 | Cisco Technology, Inc. | Policy resolution in an entitlement management system |
US8434125B2 (en) * | 2008-03-05 | 2013-04-30 | The Boeing Company | Distributed security architecture |
-
2009
- 2009-05-07 SE SE0950322A patent/SE534334C2/sv unknown
-
2010
- 2010-01-14 US US13/318,886 patent/US20120066739A1/en not_active Abandoned
- 2010-01-14 EP EP19197309.8A patent/EP3651430B1/en active Active
- 2010-01-14 EP EP10772328.0A patent/EP2428018B1/en active Active
- 2010-01-14 WO PCT/SE2010/050035 patent/WO2010128926A1/en active Application Filing
Also Published As
Publication number | Publication date |
---|---|
EP3651430A1 (en) | 2020-05-13 |
SE534334C2 (sv) | 2011-07-12 |
EP2428018A1 (en) | 2012-03-14 |
EP3651430B1 (en) | 2022-03-23 |
EP2428018A4 (en) | 2017-02-08 |
EP2428018B1 (en) | 2019-09-18 |
US20120066739A1 (en) | 2012-03-15 |
WO2010128926A1 (en) | 2010-11-11 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
SE0950322A1 (sv) | Ett system och förfarande för att styra policydistribuering med partiell evaluering | |
JP7358564B2 (ja) | 脅威を検出するための動的ポリシーの導入およびアクセスの可視化 | |
US11356440B2 (en) | Automated IoT device registration | |
CN107070848B (zh) | 为分析性web应用加密数据 | |
KR102403480B1 (ko) | 장치 정책 관리자 | |
US10423453B2 (en) | Distributed computation systems and methods | |
Chakraborty et al. | A framework for context-aware privacy of sensor data on mobile systems | |
US8799986B2 (en) | System and method for controlling policy distribution with partial evaluation | |
US11671509B2 (en) | Anonymous eCommerce behavior tracking | |
Colombo et al. | Enhancing MongoDB with purpose-based access control | |
US9479538B2 (en) | Combining network endpoint policy results | |
WO2012150316A1 (en) | Fine-grained relational database access-control policy enforcement using reverse queries | |
JPH06103058A (ja) | プログラム権限情報データ構造 | |
Masi et al. | Formalisation and implementation of the XACML access control mechanism | |
CN114647825A (zh) | 访问权限控制方法、装置、电子设备和计算机存储介质 | |
Sicuranza et al. | An access control model to minimize the data exchange in the information retrieval | |
Backes et al. | Stratified abstraction of access control policies | |
Muhleisen et al. | SWRL-based access policies for linked data | |
Hsaini et al. | FSM modeling of testing security policies for mapreduce frameworks | |
RU2634182C1 (ru) | Способ противодействия несправедливым оценкам приложений | |
Ghosh et al. | Securing loosely-coupled collaboration in cloud environment through dynamic detection and removal of access conflicts | |
EP4287056A1 (en) | Data distribution control method, data distribution control system, and authorization server | |
Noor et al. | Decentralised access control framework using blockchain: Smart farming case | |
Rezaeibagha et al. | Access control policy combination from similarity analysis for secure privacy-preserved ehr systems | |
Trabelsi et al. | Optimizing access control performance for the cloud |