專利名稱:用于管理安全對象的方法和系統(tǒng)的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及一種用于在計算機(jī)系統(tǒng)中管理安全對象的方法和系統(tǒng)���。
背景技術(shù):
現(xiàn)代交易環(huán)境包括專用安全模塊來管理用戶對資源的訪問。由于此類系統(tǒng)中的用戶和資源數(shù)量可能非常大����,因此���,相關(guān)的復(fù)雜性變得不可能由人類管理。已經(jīng)構(gòu)想出便利安全規(guī)則的管理的系統(tǒng)和方法��,這些安全規(guī)則用于控制在此類系統(tǒng)上僅執(zhí)行授權(quán)操作�。由Harrison和Kitov提出的公開號為US2009/0138938的美國專利申請描述了一種用于審計安全策略的系統(tǒng)和方法,并具體描述了如何可使用包含有關(guān)已記錄安全規(guī)則使用的信息的日志記錄來獲取有關(guān)已記錄安全對象的所述規(guī)則的信息�。Platt等人提出的公開號為US2009/0M9440的美國專利申請描述了一種用于管理跨網(wǎng)絡(luò)資源訪問的系統(tǒng)和方法,并具體描述了如何在網(wǎng)絡(luò)環(huán)境中使用中央管理服務(wù)器��、數(shù)據(jù)庫服務(wù)器和控制器攔截訪問請求以及如何準(zhǔn)許或拒絕請求���。
發(fā)明內(nèi)容
根據(jù)本發(fā)明的第一方面�,提供了根據(jù)權(quán)利要求1的一種用于管理用戶對計算機(jī)系統(tǒng)中的資源的訪問的方法����。此方面的一個優(yōu)點(diǎn)是記錄不同訪問請求的日志非常簡單,因此在處理大量同時請求時���,最小化了對系統(tǒng)性能的影響�。另一優(yōu)點(diǎn)是此方法可以容易地檢測不使用或很少使用的安全對象����,其中包括諸如組之類的經(jīng)常被安全規(guī)則管理方法忽視的身份對象����。在第一方面的第一發(fā)展中�,計數(shù)器在用戶每次請求訪問資源時遞增。一個優(yōu)點(diǎn)是該值將允許針對很少使用的安全對象進(jìn)行更精確的決定�。在第一方面的第二發(fā)展中,進(jìn)一步記錄訪問請求的時間戳��;并設(shè)置安全對象標(biāo)志以進(jìn)一步包括所述時間戳���。一個優(yōu)點(diǎn)是該時間戳將允許對于很久之前但不是近期使用的對象進(jìn)行更復(fù)雜的決定����,而不考慮尚未使用的對象�����。在第一方面的第三發(fā)展中���,檢測沖突的訪問路徑��,并且將被否決路徑的標(biāo)志設(shè)置為表示它未被使用的值���。根據(jù)本發(fā)明的第二方面,提供了一種包括適合于執(zhí)行根據(jù)本發(fā)明第一方面的方法的每個步驟的裝置的裝置���。一個優(yōu)點(diǎn)是此裝置可以容易地獲取�����,因此使該方法容易執(zhí)行�����。根據(jù)本發(fā)明的第三方面���,提供了一種包括指令的計算機(jī)程序,所述指令用于當(dāng)所述計算機(jī)程序在計算機(jī)上執(zhí)行時���,執(zhí)行根據(jù)本發(fā)明第一方面的方法的步驟�。一個優(yōu)點(diǎn)是本發(fā)明可以容易地再現(xiàn)并在不同的計算機(jī)系統(tǒng)上運(yùn)行����。根據(jù)本發(fā)明的第四方面,提供了一種上面編碼有根據(jù)本發(fā)明第三方面的計算機(jī)程序的計算機(jī)可讀介質(zhì)����。
一個優(yōu)點(diǎn)是可使用該介質(zhì)在各種裝置上容易地安裝所述方法�����。通過參考附圖和詳細(xì)描述��,本發(fā)明的進(jìn)一步優(yōu)點(diǎn)對于本領(lǐng)域的技術(shù)人員來說將是清楚的�。此處旨在包含其他任何優(yōu)點(diǎn)��。
現(xiàn)在參考附圖作為示例描述本發(fā)明的實(shí)施例�,在所述附圖中,相似的標(biāo)號表示相似的元素�,并且其中圖1示出其中可實(shí)現(xiàn)本發(fā)明的系統(tǒng)的高級視圖。圖2示出用戶和資源之間不同訪問路徑的示例���。圖3示出用于管理安全對象的高級過程�����。圖4示出本發(fā)明實(shí)施方式的活動圖���。
具體實(shí)施例方式圖1示出系統(tǒng)的高級視圖,該系統(tǒng)包括-用戶(100);-應(yīng)用(110);-資源對象(120);-訪問請求攔截組件(130)-用戶認(rèn)證組件(140),用于驗證用戶身份���,例如通過驗證用戶名和密碼����;-用于存儲用戶身份和組層次結(jié)構(gòu)的數(shù)據(jù)庫(150)���;-用戶授權(quán)組件(160),用于準(zhǔn)許或拒絕對資源對象(120)的訪問���;-訪問控制描述符(也稱為訪問控制列表)數(shù)據(jù)庫(170)��;-安全監(jiān)視組件(180)���,用于在審計數(shù)據(jù)庫(190)中記錄訪問請求參數(shù)。當(dāng)被認(rèn)證用戶(100)嘗試訪問資源對象(120)以執(zhí)行需要特定訪問級別的操作(例如�,用于查看操作的讀取或用于更新操作的寫入)時,首先必須由授權(quán)組件(160)授權(quán)用戶訪問�����。這種組件通常依賴于訪問控制描述符數(shù)據(jù)庫(170)來判定誰對特定資源具有何種訪問權(quán)限��。所述授權(quán)可由嘗試訪問資源的應(yīng)用(110)直接請求,也可由訪問請求攔截組件(130)請求���,因為經(jīng)常的情形是應(yīng)用并不總是了解其被執(zhí)行的環(huán)境�,因此會無法直接調(diào)用授權(quán)組件(160)�����。在每次訪問被請求時�����,授權(quán)組件(160)決定應(yīng)該準(zhǔn)許還是拒絕此訪問�。它還會觸發(fā)安全監(jiān)視組件(180),此組件能夠在審計日志或?qū)徲嫺?audit trail)數(shù)據(jù)庫(190)中存儲有關(guān)被評估的特定請求的詳細(xì)信息�����。所述記錄始終需要在最小詳細(xì)信息量以便具有有用信息和最大詳細(xì)信息量以便不會對系統(tǒng)性能造成太大影響之間權(quán)衡�����。在復(fù)雜系統(tǒng)中���,訪問控制描述符的數(shù)目可以接近數(shù)十萬�,會有大量用戶同時訪問資源。因此�,此類系統(tǒng)必須使所記錄的詳細(xì)信息量保持最小。替代地����,安全監(jiān)視組件(180)不是由授權(quán)組件(160)直接觸發(fā),而是由攔截授權(quán)請求的特定組件觸發(fā)���。圖2示出用戶和資源之間的不同訪問路徑示例,包括-用戶(200);
-可由所述用戶訪問的第一資源(210)�����、第二資源(215)和第三資源(220)���;-第一用戶組(230)�����、第二用戶組(240)����、第三用戶組(250)和第四用戶組(260)����;-第一資源組(233)��、第二資源組(243)和第三資源組(253)��;-第一訪問控制描述符(236)�����、第二訪問控制描述符(246)�����、第三訪問控制描述符(256 )和第四訪問控制描述符(266 )��?���?稍谙到y(tǒng)中將用戶或用戶組視為用于通告(anrumciate)特定身份(用戶身份或用戶所屬的組身份)的安全對象�����。用戶組一般對應(yīng)于用戶(200)可在系統(tǒng)中所具有的特定角色�����。創(chuàng)建資源組以反映不同資源的分組,例如�����,作為事務(wù)(transaction)的一部分����。訪問控制描述符用于定義授權(quán)特定身份訪問哪些資源,或者相反地定義拒絕特定身份訪問哪些資源���,這取決于系統(tǒng)是如何配置的����。在圖2中����,可識別用戶(200)和第一資源(210)之間的兩個訪問路徑-第一訪問路徑���,包括屬于第一用戶組(230)的用戶(200 )��,所述第一用戶組(230 )由第一資源組(233)引用����,其轉(zhuǎn)而由第一訪問控制描述符(236)授權(quán)訪問第一資源(210);-第二訪問路徑��,包括屬于第一用戶組(230)的用戶(200 )����,所述第一用戶組(230 )由第二資源組(243)引用,其轉(zhuǎn)而由第一訪問控制描述符(236)授權(quán)訪問第一資源(210)����。用戶(200)和第二資源(215)之間具有四個訪問路徑-第一訪問路徑,包括屬于第一用戶組(230)的用戶(200 )�����,所述第一用戶組(230 )由第二資源組(243)引用��,其轉(zhuǎn)而由第二訪問控制描述符(246)授權(quán)訪問第二資源(215)���;-第二訪問路徑���,包括用戶(200),所述用戶(200)由第三資源組(253)引用���,其轉(zhuǎn)而由第二訪問控制描述符(246)授權(quán)訪問第二資源(215)�����;-第三訪問路徑��,包括屬于第四用戶組(260)的用戶(200)�,所述第四用戶組(260)由第三資源組(253)引用,其轉(zhuǎn)而由第二訪問控制描述符(246)授權(quán)訪問第二資源(215)����;-第四訪問路徑,包括屬于第一用戶組(230)的用戶(200 )���,所述第一用戶組(230 )由第一資源組(233)引用��,其轉(zhuǎn)而由第二訪問控制描述符(246)授權(quán)訪問第二資源(215)�����。第二訪問控制描述符(246)還準(zhǔn)許訪問第三資源(220)。訪問控制描述符可以準(zhǔn)許訪問或拒絕訪問一個或多個資源或資源組����。用戶(200)還屬于第二用戶組(240),但是該組不作為身份通告器(identityannunciator)屬于到任何資源的訪問路徑���。第三用戶組(250)沒有任何成員�����。因此�,對于訪問資源的用戶而言����,可以有多個訪問路徑。由于可以存在大量訪問控制描述符和組(數(shù)十萬)�,因此系統(tǒng)中并非不可能存在沖突的訪問路徑(例如,一個訪問路徑阻止用戶讀取資源�����,而另一訪問路徑授權(quán)同一用戶對同一資源進(jìn)行寫入)���?����?梢跃妥R別出此類沖突時如何做出反應(yīng)來配置現(xiàn)有安全系統(tǒng)(例如���,始終授予被準(zhǔn)許的最高訪問級別)���。檢測此類沖突需要對用戶和每個資源之間的路徑做出窮盡的分析。在訪問路徑分析過程中�,分析定義用戶對資源的訪問的訪問規(guī)則。一種典型的資源是磁盤上的數(shù)據(jù)文件����。這些資源具有各種屬性(例如,名稱或位置)����。安全產(chǎn)品(例如RACF)可以根據(jù)這些屬性保持資源描述符。這些資源描述符經(jīng)常與許多其他描述符(用于用戶ID���、用戶組等)一起包含在安全數(shù)據(jù)庫(G)中�。資源描述符可以描述零個�、一個或多個資源。(在RACF中�,此類資源描述符被稱為數(shù)據(jù)集配置文件(profile)或資源配置文件。一般而言�����,描述多個資源的資源描述符被稱為一般配置文件��,而描述一個資源的資源描述符被稱為分散配置文件)�����。對于某些資源類別��,可以(但非必須)將多個資源描述符聚合到一個資源組中�。在圖中,這些資源組由ResGrp 1����、ResGrp2和ResGrp3表示。(在RACF中����,此類資源組被定義為分組一類別(grouping-class)中的配置文件。經(jīng)常地�,對應(yīng)的資源描述符被稱為成員一類別(member-class)配置文件)。如果資源描述符(例如����,上圖中的ResDescl)是資源組的一部分,則它不總是需要作為單獨(dú)的實(shí)體以物理方式出現(xiàn)����,而可以被認(rèn)為由引用定義����。資源組和資源描述符每個都可以具有訪問列表�。它們還可以具有其他控制所有用戶ID訪問的屬性。所述訪問列表可以包含用戶標(biāo)識符和用戶組��。所述用戶標(biāo)識符(或簡稱為用戶ID)可以出于不同目的作為成員被包括在一個組或多個組內(nèi)�����。這里的介紹僅限于使用用戶組來準(zhǔn)許或拒絕訪問資源����。由于可應(yīng)用資源描述符或資源組的屬性,由于用戶ID包括在可應(yīng)用ACL中�,由于其一個或多個用戶組包括在可用ACL中,或者由于用戶ID本身的屬性�����,用戶ID可以具有資源訪問權(quán)限�。由于用戶ID可以是多個用戶組的成員,由于資源描述符可以包括在多個資源組中����,以及由于資源描述符和資源組兩者都可以具有訪問列表,因此用戶ID對資源的訪問可由多個定義同時控制�。在訪問路徑分析過程中,找到并評估所有可以控制用戶ID對資源的訪問的不同定義��。例如���,在上圖中��,位于左側(cè)的用戶可通過以下四個不同路徑訪問位于右側(cè)的第二資源a) userid->usergrpl->resgrpl->resdesc2->resource2 準(zhǔn)許讀取訪問b) userid->usergrpl->resgrp2->resdesc2->resource2 準(zhǔn)許讀取訪問c)userid->resgrp3->resdesc2->resource2 準(zhǔn)許讀取訪問 d) userid->usergrp4->resgrp3->resdesc2->resource2 準(zhǔn)許讀取訪問�。這四個路徑中的每個路徑準(zhǔn)許的訪問級別可能不同�����,也可能相同�。訪問路徑分析的結(jié)果是所有允許訪問的不同路徑的完整表示,同時丟棄所有無關(guān)路徑�,因為準(zhǔn)許的訪問不用于實(shí)際的訪問決定。例如��,丟棄路徑a)����、b)和d)準(zhǔn)許的讀取訪問,因為此訪問被路徑c)準(zhǔn)許的顯式用戶ID級訪問替代。此類型的分析使用安全定義中存在的靜態(tài)數(shù)據(jù)���。有時它被稱為靜態(tài)分析����。圖3示出用于管理安全對象的高級過程�,包括-數(shù)據(jù)收集階段(310);-數(shù)據(jù)整合階段(320);-位于這兩個階段之間的篩選(325);-訪問路徑分析階段(330)���;-位于數(shù)據(jù)整合階段(320)和依賴于訪問規(guī)則或訪問控制描述符數(shù)據(jù)庫(370)的訪問路徑分析階段(330)之間的篩選(335)��;-命令產(chǎn)生階段(340)����;-位于訪問路徑分析階段(330)和命令產(chǎn)生階段(340)之間的篩選(345)�;-數(shù)據(jù)/角色挖掘階段(350);-位于數(shù)據(jù)收集階段(310)、數(shù)據(jù)整合階段(320)和訪問路徑分析階段(330)之間的篩選(355)���;-what-if what-now (如果…則怎樣����,現(xiàn)在怎樣)分析階段(360)����;-位于訪問路徑分析階段(330)和what-ifwhat-now分析階段(360)之間的篩選(365)���。對于所述數(shù)據(jù)收集階段,收集有關(guān)以下方面的信息-誰����;-什么(資源類型/名稱)�����;-何時(事件日期/時間)���;-何處(系統(tǒng)名)�;-訪問級別�����;-用戶的某些屬性����,環(huán)境設(shè)置;-RACF特定信息����,如所用資源配置文件�����。在所述數(shù)據(jù)整合(數(shù)據(jù)精簡)階段�����,可以執(zhí)行原始數(shù)據(jù)篩選����。合并所產(chǎn)生的數(shù)據(jù)��。將多個相同記錄合并為一個單獨(dú)的記錄�����,并添加計數(shù)值以記錄有多少重復(fù)的記錄����。為了判定記錄是否重復(fù),所收集的一個或多個方面可被視為被丟棄���。在整合的輸出文件中����,被丟棄的方面可由用于此方面的單個代表值替代。在當(dāng)前實(shí)施方式中建議丟棄的方面是事件日期和時間�����。整合過程允許在最少使用資源的情況下保留來自延長時間段的數(shù)據(jù)�。從中整合數(shù)據(jù)的時間段可選擇為最適合所需分析類型。此整合過程通常用于多個代表性的時間段�,如30分鐘�、1天、1個月或1年����。所述訪問路徑分析階段(330)包括已參考圖2詳細(xì)描述的靜態(tài)訪問路徑分析,以及動態(tài)訪問路徑分析階段�����。在動態(tài)訪問路徑分析階段(330)�����,可將靜態(tài)訪問路徑分析結(jié)果的內(nèi)部表示與來自(整合的)訪問數(shù)據(jù)的實(shí)際使用信息進(jìn)行合并�。此合并產(chǎn)生動態(tài)訪問路徑分析�。所有等效的訪問路徑通過標(biāo)志或計數(shù)器被標(biāo)記為已使用����。所有對安全產(chǎn)品的實(shí)際訪問決定(無論是準(zhǔn)許訪問還是拒絕訪問)沒有貢獻(xiàn)的訪問路徑保持不標(biāo)記。分析的此動態(tài)方面的本質(zhì)部分是將所有可能已參與訪問決定的路徑標(biāo)記為已使用�,而獨(dú)立于安全產(chǎn)品使用的實(shí)際過程。例如���,安全產(chǎn)品可能使用首發(fā)命中(first hit)算法并立即停止訪問驗證過程�����。相反�,所述動態(tài)訪問路徑分析將執(zhí)行窮盡的搜索并標(biāo)記所有可能的貢獻(xiàn)者�����。所有中間步驟都被標(biāo)記���。在上述示例中���,標(biāo)記以下內(nèi)容用戶(200)、resgrp3 (253)、resdesc2 (246)��。如果已涉及任務(wù)組���,則也會將它標(biāo)記為已使用���。動態(tài)分析結(jié)果可用于三種不同的應(yīng)用-命令產(chǎn)生(340),以刪除選定定義�����;-動態(tài)角色挖掘(350)��,基于導(dǎo)致訪問的中間定義的實(shí)際使用���。使用上述示例,ResGrp3 (253)中用于用戶(200)的ACL項被標(biāo)記為已使用����,該ACL項作為其表示的角色是活動的;-what-if和what-now分析(360)涉及比較使用當(dāng)前的或所提出的安全定義準(zhǔn)許的訪問與歷史上獲取的訪問信息�。在可選的(整合)訪問數(shù)據(jù)篩選(335)或/和可選的安全定義篩選(345)之后,可針對未使用的安全定義�����、很少使用的安全定義或僅在指定時間間隔使用的安全定義產(chǎn)生(340)命令。典型時間間隔是一端無限的時間間隔“6個月前”�����。所產(chǎn)生的命令可用于用戶10(200)�����、用戶組(230�、240、250�����、260)�、用戶 ID 到組連接、ACL 項�����、資源組(233���、243��、253)����、資源描述符(236、246�����、256����、266)和資源組到資源描述符連接。所提出的系統(tǒng)不需要立即執(zhí)行所產(chǎn)生的命令�,但允許安全管理員檢查和修改所產(chǎn)生的命令。數(shù)據(jù)收集過程(310)的輸出�、數(shù)據(jù)整合過程(320)的輸出,以及動態(tài)訪問路徑分析(330)的輸出可用于直接報告��,或者可用于數(shù)據(jù)挖掘目的(350)����?��?墒褂么藬?shù)據(jù)的一種特定類型的數(shù)據(jù)挖掘是“角色挖掘”�����。角色挖掘(350)是判定訪問角色(作業(yè)角色)��,以針對例如授權(quán)級別����、已定義或分配的角色數(shù)、或最少必要管理工作優(yōu)化準(zhǔn)許用戶的資源訪問授權(quán)的過程�����?����?梢允褂脀hat-if和what-now分析(360)驗證之前的事件仍然使用所提出的或當(dāng)前的定義來如所希望的那樣進(jìn)行處理����。通過使用選定的安全定義數(shù)據(jù)庫,可以比較過去發(fā)生的和捕獲的實(shí)際事件與所提出的或當(dāng)前的安全定義��。由于數(shù)據(jù)精簡步驟(320)和全面的訪問路徑分析(330 )���,因此可以高效地完成上述比較����。圖4示出本發(fā)明的實(shí)施方式的活動圖,其包括以下步驟-開始(400);-接收有關(guān)用戶請求訪問資源的消息(410)����;-存儲請求安全參數(shù)(420),包括用戶ID���、資源標(biāo)識符�����、所請求的訪問級別���、每次檢測到用戶對資源的訪問時遞增的計數(shù)器,并且存儲以下可選安全參數(shù)訪問控制描述符的標(biāo)識符�����、表示最后請求訪問日期的請求時間戳�、三個附加計數(shù)器,其中第一附加計數(shù)器在每次準(zhǔn)許訪問時遞增����,第二附加計數(shù)器在每次拒絕訪問時遞增,以及第三附加計數(shù)器計數(shù)系統(tǒng)不了解發(fā)生了什么�;-識別可能用于授權(quán)請求的所有訪問路徑(430);-標(biāo)記所有安全對象(440)��,包括諸如用戶組����、資源組和訪問控制描述符之類可用于授權(quán)的身份通告器(此步驟可標(biāo)記系統(tǒng)實(shí)際上從未使用的安全對象,因為系統(tǒng)可能在找到訪問路徑之后立即停止�����,并不會嘗試窮盡地找到活動環(huán)境中的所有訪問路徑)����;-根據(jù)安全對象的標(biāo)志值作出關(guān)于安全對象(450)的決定,默認(rèn)情況下���,標(biāo)志值是該對象未使用����,動態(tài)訪問路徑分析階段(330)會更改該值以匹配在數(shù)據(jù)整合階段(320)判定的值�;以及-結(jié)束過程(460)。另一實(shí)施例包括一種用于監(jiān)視訪問控制決定的方法�����,即使它們沒有全部記錄在審計跟蹤中。相反��,維護(hù)一計數(shù)�,其是通過在決定哪些授權(quán)可能已準(zhǔn)許或拒絕訪問時相關(guān)的所有參數(shù)總結(jié)的,所述參數(shù)包括但不限于主題(subject)���、對象�����、訪問級別和決定�。經(jīng)過一個(任意的�,通常可配置)時間間隔之后�,它被寫出,作為我們所稱的訪問摘要(AccessSummary)記錄���。這有助于確保將數(shù)據(jù)丟失限制到最多一個時間間隔�����。有關(guān)這些時間間隔的信息可以進(jìn)行整合以創(chuàng)建涵蓋更長時間間隔的訪問摘要記錄�。所述訪問摘要記錄與當(dāng)前安全規(guī)則(訪問控制數(shù)據(jù)庫)進(jìn)行比較以標(biāo)記安全規(guī)則、安全屬性或特定授權(quán)是否在所述訪問摘要所涵蓋的時間段內(nèi)已使用(用于授權(quán)或拒絕)�����,或者替代地計數(shù)其使用的頻率��?�?蛇x的篩選步驟�����,其中例如可以選擇安全規(guī)則子集以用于自動處理����、人工批準(zhǔn)或根本不做任何處理����。可選的人工批準(zhǔn)步驟���,其中可以批準(zhǔn)刪除未被標(biāo)記為已使用的授權(quán)����。本發(fā)明可以采取完全硬件實(shí)施例、完全軟件實(shí)施例或同時包含硬件和軟件元素的實(shí)施例的形式��。在優(yōu)選實(shí)施例中�����,本發(fā)明在軟件中實(shí)現(xiàn)�����,所述軟件包括但不限于固件����、駐留軟件、微代碼等�����。
此外���,本發(fā)明可以采取可從計算機(jī)可用或計算機(jī)可讀介質(zhì)訪問的計算機(jī)程序產(chǎn)品的形式�����,所述計算機(jī)可用或計算機(jī)可讀介質(zhì)提供由計算機(jī)或任何指令執(zhí)行系統(tǒng)使用或與所述計算機(jī)或任何指令執(zhí)行系統(tǒng)結(jié)合的程序代碼���。處于此描述的目的��,所述計算機(jī)可用或計算機(jī)可讀介質(zhì)可以是任何能夠包含�、存儲�、傳送�����、傳播或傳輸由指令執(zhí)行系統(tǒng)��、裝置或設(shè)備使用或與所述指令執(zhí)行系統(tǒng)����、裝置或設(shè)備結(jié)合的程序的裝置。所述介質(zhì)可以是電��、磁�、光、電磁�����、紅外線或半導(dǎo)體系統(tǒng)(或裝置或設(shè)備)或傳播介質(zhì)。計算機(jī)可讀介質(zhì)的示例包括半導(dǎo)體或固態(tài)存儲器���、磁帶�、可移動計算機(jī)軟盤���、隨機(jī)存取存儲器(RAM)�����、只讀存儲器(ROM)���、硬磁盤和光盤。所述光盤的當(dāng)前示例包括光盤-只讀存儲器(CD-ROM)��、光盤-讀寫存儲器(CD-R/W)和DVD�。適合于存儲和/或執(zhí)行程序代碼的數(shù)據(jù)處理系統(tǒng)將包括至少一個通過系統(tǒng)總線直接或間接連接到存儲器元件的處理器。所述存儲器元件可以包括在程序代碼的實(shí)際執(zhí)行期間采用的本地存儲器���、大容量存儲裝置以及提供至少某些程序代碼的臨時存儲以減少必須在執(zhí)行期間從大容量存儲裝置檢索代碼的次數(shù)的高速緩沖存儲器����。輸入/輸出或I/O設(shè)備(包括但不限于鍵盤����、顯示器��、指點(diǎn)設(shè)備等)可以直接或通過中間I/O控制器與系統(tǒng)相連�。網(wǎng)絡(luò)適配器也可以被連接到系統(tǒng)以使所述數(shù)據(jù)處理系統(tǒng)能夠通過中間專用或公共網(wǎng)絡(luò)變得與其他數(shù)據(jù)處理系統(tǒng)或遠(yuǎn)程打印機(jī)或存儲設(shè)備相連����。電話調(diào)制解調(diào)器、電纜調(diào)制解調(diào)器和以太網(wǎng)卡只是幾種當(dāng)前可用的網(wǎng)絡(luò)適配器類型�����。
權(quán)利要求
1.一種用于在計算機(jī)系統(tǒng)中管理用戶對資源的訪問的方法����,包括以下步驟-接收有關(guān)所述用戶請求訪問所述資源的消息��,所述訪問與一訪問級別關(guān)聯(lián)��,如果所述用戶和所述資源之間存在用于所述訪問級別的訪問路徑��,則準(zhǔn)許所述訪問�����,所述訪問路徑包括-身份通告器,用于表示所述用戶�、所述用戶作為成員的組或角色,以及-訪問控制描述符����,用于表示所述身份被授權(quán)訪問所述資源或包括所述資源的資源組所達(dá)到的訪問級別;其中所述身份通告器和所述訪問控制描述符均為安全對象��,每個都包括表示其在授權(quán)訪問資源時的使用的標(biāo)志�����;-響應(yīng)于接收到所述消息�����,在記錄中存儲所述用戶的第一標(biāo)識符���、所述資源的第二標(biāo)識符����、所述訪問級別以及用于表示已請求訪問的第一值����;-識別可用于判定是否授權(quán)所述用戶以所述訪問級別訪問所述資源的所有訪問路徑�����;-將這樣識別的每個訪問路徑的安全對象的標(biāo)志設(shè)置為所述第一值�����;-接收另一安全對象��,包括表示其在授權(quán)訪問資源時的使用的標(biāo)志�;-根據(jù)這樣接收的所述另一安全對象的標(biāo)志值�����,針對該對象作出決定�����。
2.如權(quán)利要求1中所述的方法����,其中在所述在記錄中存儲的步驟中��,所述第一值是在每次請求所述訪問時遞增的計數(shù)器�。
3.如權(quán)利要求2中所述的方法�,其中所述決定是在所述其他安全對象的標(biāo)志值低于預(yù)定值時刪除該對象�����。
4.如權(quán)利要求2或3中所述的方法����,其中在所述在記錄中存儲的步驟中,進(jìn)一步在所述記錄中存儲訪問請求的時間戳����;并且其中,在所述設(shè)置標(biāo)志的步驟中����,將所述標(biāo)志設(shè)置為進(jìn)一步包括所述時間戳。
5.如權(quán)利要求4中所述的方法���,其中所述決定是在所述其他安全對象的標(biāo)志中設(shè)置的時間戳設(shè)置早于預(yù)定日期時刪除該對象�����。
6.如上述任一權(quán)利要求中所述的方法��,其中���,在所述在記錄中存儲的步驟中�����,所述記錄可以是長期的或永久的���。
7.如上述任一權(quán)利要求中所述的方法,包括以下進(jìn)一步的步驟-在所述識別所有訪問路徑的步驟中����,進(jìn)一步識別包括第一訪問級別的第一訪問路徑和包括第二訪問級別的第二訪問路徑,其中所述第一訪問級別和第二訪問級別相互沖突����,并且所述第一訪問路徑被所述第二訪問路徑否決;以及-在所述設(shè)置標(biāo)志的步驟中���,將所述第一訪問路徑的安全對象的標(biāo)志設(shè)置為第二值�����,以便表示它們不被使用,因為所述第一訪問路徑被否決�����。
8.如權(quán)利要求7中所述的方法,其中在所述決定步驟中���,所述決定是在所述其他安全對象的標(biāo)志設(shè)置為所述第二值時刪除該對象����。
9.如上述任一權(quán)利要求中所述的方法���,其中所述身份通告器可以是用戶組或用戶角色�����。
10.一種包括適合于執(zhí)行如權(quán)利要求1至8中任一權(quán)利要求中所述的方法的每個步驟的裝置的裝置�。
11.一種計算機(jī)程序����,包括當(dāng)所述計算機(jī)程序在計算機(jī)上執(zhí)行時,適合于執(zhí)行如權(quán)利要求1至8中任一權(quán)利要求中所述的方法步驟的指令��。
12. —種上面編碼有如權(quán)利要求10中所述的計算機(jī)程序的計算機(jī)可讀介質(zhì)�����。
全文摘要
本發(fā)明提供一種用于監(jiān)視訪問控制決定的方法,即使它們沒有全部記錄在審計跟蹤中�。相反,維護(hù)一計數(shù)��,其是通過在決定哪些授權(quán)可能已準(zhǔn)許或拒絕訪問時相關(guān)的所有參數(shù)總結(jié)的��,所述參數(shù)包括但不限于主題�、對象、訪問級別和決定�����。經(jīng)過一個(任意的�,通常可配置)時間間隔之后���,它被寫出�����,作為我們所稱的訪問摘要記錄�����。這有助于確保將數(shù)據(jù)丟失限制到最多一個時間間隔��。有關(guān)這些時間間隔的信息可以進(jìn)行整合以創(chuàng)建涵蓋更長時間間隔的訪問摘要記錄�����。所述訪問摘要記錄與當(dāng)前安全規(guī)則(訪問控制數(shù)據(jù)庫)進(jìn)行比較以標(biāo)記安全規(guī)則����、安全屬性或特定授權(quán)是否在所述訪問摘要所涵蓋的時間段內(nèi)已使用(用于授權(quán)或拒絕)�。可選的篩選步驟��,其中例如可選擇安全規(guī)則的子集����,用于自動處理、人工批準(zhǔn)或根本不做任何處理��?��?蛇x的人工批準(zhǔn)步驟����,其中可以批準(zhǔn)刪除被標(biāo)記為已使用的授權(quán)。
文檔編號H04L29/06GK102598021SQ201080050156
公開日2012年7月18日 申請日期2010年8月26日 優(yōu)先權(quán)日2009年11月6日
發(fā)明者G·博納, H·舍恩 申請人:國際商業(yè)機(jī)器公司