專利名稱:采用自適應(yīng)格機(jī)制加強(qiáng)計(jì)算機(jī)安全的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及確保安全訪問(wèn)計(jì)算機(jī)系統(tǒng)所用的方法��。
發(fā)明內(nèi)容
所述方法可以包括若干步驟�����。所述方法可以開(kāi)始于在所述計(jì)算機(jī)系統(tǒng)中從某個(gè)實(shí)體接收請(qǐng)求的步驟�。所述實(shí)體可以是用戶或過(guò)程,并且可以具有預(yù)定的訪問(wèn)授權(quán)級(jí)別��,用于對(duì)表示信息類型或計(jì)算機(jī)系統(tǒng)功能的第一基本節(jié)點(diǎn)進(jìn)行訪問(wèn)。所述計(jì)算機(jī)系統(tǒng)判斷所述訪問(wèn)請(qǐng)求是否完成了所述實(shí)體的禁止的時(shí)間訪問(wèn)模式��。如果是��,就拒絕所述請(qǐng)求�。否則,所述系統(tǒng)可以對(duì)比為所述第一基本節(jié)點(diǎn)建立的最低訪問(wèn)級(jí)別和分配給所述實(shí)體的所述預(yù)定訪問(wèn)授權(quán)級(jí)別��。然后��,只有在所述第一基本節(jié)點(diǎn)的所述最低訪問(wèn)級(jí)別不超過(guò)所述預(yù)定訪問(wèn)授權(quán)級(jí)別時(shí)�,所述系統(tǒng)才準(zhǔn)許所述訪問(wèn)請(qǐng)求。所述方法也可以包括以下步驟如果所述第一基本節(jié)點(diǎn)的所述最低訪問(wèn)級(jí)別超過(guò)了分配給所述實(shí)體的所述預(yù)定訪問(wèn)授權(quán)級(jí)別����,就拒絕所述請(qǐng)求。
所述方法也可以包括把所述計(jì)算機(jī)系統(tǒng)邏輯地組織為具有多個(gè)葉節(jié)點(diǎn)和更高級(jí)別節(jié)點(diǎn)的樹(shù)狀層次的形式�����。多個(gè)所述基本節(jié)點(diǎn)可以定義為各自包含所述樹(shù)狀層次的多個(gè)葉節(jié)點(diǎn)���。更高級(jí)別節(jié)點(diǎn)可以定義為所述基本節(jié)點(diǎn)的聚集�����。另外�����,所述方法可以包括以下步驟在所述層次之內(nèi)識(shí)別任何更高級(jí)別節(jié)點(diǎn)���,所述更高級(jí)別節(jié)點(diǎn)是包含所述第一基本節(jié)點(diǎn)的聚集����。
所述方法也可以包括在所述層次之內(nèi)識(shí)別直接或間接包含以下子節(jié)點(diǎn)的任何節(jié)點(diǎn)�,所述子節(jié)點(diǎn)是包含所述第一基本節(jié)點(diǎn)的聚集的任何所述更高級(jí)別節(jié)點(diǎn)的子節(jié)點(diǎn)。然后對(duì)于直接或間接包含以下子節(jié)點(diǎn)的任何基本節(jié)點(diǎn)�����,可以更新所需的所述最低訪問(wèn)級(jí)別��,所述子節(jié)點(diǎn)是包含所述第一基本節(jié)點(diǎn)的聚集的任何所述更高級(jí)別節(jié)點(diǎn)的子節(jié)點(diǎn)���。
例如所述更新步驟可以包括對(duì)比所述實(shí)體的預(yù)定訪問(wèn)授權(quán)級(jí)別與作為包含所述第一基本節(jié)點(diǎn)的聚集的所述更高級(jí)別節(jié)點(diǎn)的所需的所述最低訪問(wèn)級(jí)別。然后�,如果包含所述聚集的所述更高級(jí)別節(jié)點(diǎn)的所需最低訪問(wèn)級(jí)別具有高于所述實(shí)體的預(yù)定訪問(wèn)級(jí)別的所需訪問(wèn)級(jí)別,對(duì)于也是包含所述第一基本節(jié)點(diǎn)的任何聚集的成員的任何所述基本節(jié)點(diǎn),也可以更新其所需的最低訪問(wèn)級(jí)別���。
附圖簡(jiǎn)要說(shuō)明
圖1是數(shù)據(jù)基本要素和層次圖的表達(dá)�����,用于理解本發(fā)明���;圖2A和圖2B是帶有傳遞閉包表的部分排序后集合的實(shí)例;圖3是時(shí)間次序表的實(shí)例���;圖4A是過(guò)程/用戶訪問(wèn)表的實(shí)例�����;圖4B是時(shí)間訪問(wèn)表的實(shí)例��;圖5是組合分類表的實(shí)例�����;圖6是一幅流程圖�,用于理解本發(fā)明����;圖7是一幅流程圖�����,用于理解本發(fā)明����;圖8A至圖8E顯示了一系列表格�����,用于理解在一個(gè)實(shí)例中如何運(yùn)行本發(fā)明的過(guò)程��;圖9A至圖9H顯示了一系列表格�����,用于理解在第二個(gè)實(shí)例中如何運(yùn)行本發(fā)明的過(guò)程���;圖10是一幅計(jì)算機(jī)系統(tǒng)圖�,用于理解本發(fā)明布局的實(shí)施�。
具體實(shí)施例方式
本發(fā)明涉及的方法和系統(tǒng)使用自適應(yīng)格機(jī)制來(lái)加強(qiáng)計(jì)算機(jī)安全�����。數(shù)據(jù)和功能訪問(wèn)安全級(jí)別構(gòu)成了控制訪問(wèn)的最初基礎(chǔ)。這些安全訪問(wèn)基本要素可以組織在部分排序后集合(POSET)之內(nèi)�,以便定義分層次的有向圖。所述安全訪問(wèn)基本要素可以構(gòu)成所述分層次的有向圖中的基本節(jié)點(diǎn)��。所述圖之內(nèi)的更高級(jí)別節(jié)點(diǎn)表示信息聚集集合和/或訪問(wèn)的時(shí)間模式�����。所述圖之內(nèi)的每個(gè)所述節(jié)點(diǎn)都可以具有相關(guān)聯(lián)的安全級(jí)別��,它表示所述具體的聚集或模式所用的強(qiáng)制安全級(jí)別�。對(duì)于每個(gè)用戶/過(guò)程都動(dòng)態(tài)地維持訪問(wèn)授權(quán),從而能夠根據(jù)每個(gè)用戶的訪問(wèn)歷史���,使系統(tǒng)對(duì)象具有多個(gè)訪問(wèn)分類級(jí)別����。
現(xiàn)在參考圖1���,安全的計(jì)算機(jī)系統(tǒng)可以包含多個(gè)對(duì)象類型1021-1024和系統(tǒng)功能1041-1043�����。所述對(duì)象類型可以包括一種或多種信息類型A�、B、C�����、D�。對(duì)象類型的示例106可以包括多種類型的實(shí)例108,如圖所示��。另外�,每種對(duì)象類型都可以具有與之相關(guān)聯(lián)的所需的最低安全訪問(wèn)級(jí)別。在圖1中�����,對(duì)于每個(gè)對(duì)象類型1021-1024�,所需的所述最低安全訪問(wèn)級(jí)別表示在與標(biāo)識(shí)所述信息類型的字母一起的在括號(hào)中。例如��,圖1中的對(duì)象1024標(biāo)注為“D(2)”����。括號(hào)中的所述數(shù)字2表明,信息類型D具有的所需的最低安全訪問(wèn)級(jí)別為2�。請(qǐng)求訪問(wèn)對(duì)象類型D的任何示例的任何過(guò)程或用戶具有的安全訪問(wèn)級(jí)別必須高于或等于2���。同樣�����,訪問(wèn)對(duì)象1022——顯示為B(1)——需要的安全訪問(wèn)級(jí)別為1或更高�����。
系統(tǒng)功能1041-1043表示過(guò)程或用戶能夠訪問(wèn)的功能����。在圖1中,所述功能顯示為包括目錄(dir)��、執(zhí)行(exec)和刪除(del)。不過(guò)應(yīng)當(dāng)理解,這些僅僅是為了說(shuō)明計(jì)算機(jī)系統(tǒng)功能的某些實(shí)例�����,而本發(fā)明不限于計(jì)算機(jī)系統(tǒng)功能的任何具體類型�。類似于以上關(guān)于對(duì)象類型1021-1024介紹的所述記法��,圖1中每個(gè)系統(tǒng)功能1041-1043之后也跟隨著括號(hào)中的數(shù)字���。所述數(shù)字表示訪問(wèn)該具體功能的任何過(guò)程或用戶需要的最低安全訪問(wèn)級(jí)別��。因此例如���,標(biāo)注為exec(2)的所述“exec”系統(tǒng)功能需要過(guò)程或用戶具有的安全級(jí)別至少為2才能訪問(wèn)該功能����。
所述多種對(duì)象類型1021-1024和系統(tǒng)功能1041-1043能夠表示在圖1所示的層次樹(shù)狀圖中����。根據(jù)本發(fā)明的一個(gè)方面,所述多種對(duì)象類型和系統(tǒng)功能能夠定義為所述層次樹(shù)100中的多個(gè)葉或基本節(jié)點(diǎn)110��。另外����,還可以構(gòu)建更高級(jí)別的節(jié)點(diǎn)110,以便表示基本節(jié)點(diǎn)110的聚集���。如圖1所示�����,更高級(jí)別的節(jié)點(diǎn)112可以包括基本節(jié)點(diǎn)110的聚集�����,以及更高層次的聚集��,即過(guò)去構(gòu)建的聚集的聚集�。
根據(jù)本發(fā)明的一個(gè)實(shí)施例�����,通過(guò)把所述對(duì)象類型1021-1024和系統(tǒng)功能1041-1043組織在部分排序集合(POSET)之內(nèi)�,可以實(shí)施圖1中的所述分層次的有向圖。POSET定義了在元素的集合之內(nèi)�����,元素對(duì)之間存在的關(guān)系�����,如x→R→y���。在元素的所述集合之內(nèi)����,存在著若干元素對(duì),如m和n���,對(duì)于它們����,關(guān)系R不存在�。因此,所述集合是部分排序的�����。所以�����,POSET可以具有多個(gè)根和葉節(jié)點(diǎn)��,與樹(shù)結(jié)構(gòu)不同�,它具有單一的根節(jié)點(diǎn)和多個(gè)葉節(jié)點(diǎn)。因?yàn)楸硎拘畔⒃L問(wèn)和操作功能(要對(duì)其強(qiáng)化所述安全操作)之根節(jié)點(diǎn)的所述多重性��,所述POSET用于表示安全關(guān)系的多重性�����。圖2A是帶有傳遞閉包表202的這種POSET200的實(shí)例,對(duì)于圖1中的所述層次樹(shù)100可以產(chǎn)生這種POSET����。
再次參考圖1,可見(jiàn)對(duì)于時(shí)間訪問(wèn)模式可以產(chǎn)生若干關(guān)系��。在這幅圖中標(biāo)注著T1的彎曲箭頭指明了項(xiàng)目1141和1142所定義的所述訪問(wèn)之間的時(shí)間次序��。因此����,對(duì)于項(xiàng)目1142�,在項(xiàng)目1041和1042之間產(chǎn)生了時(shí)間次序,如1041→1042���。因此���,節(jié)點(diǎn)d(3)不僅標(biāo)識(shí)由1041和1042注明之所述基本要素功能的聚集,而且指定了存在著明顯的時(shí)間次序在1042之前訪問(wèn)1041�����。所以,要啟動(dòng)與項(xiàng)目1142相關(guān)聯(lián)的所述安全策略��,不僅1041和1042都必須訪問(wèn)�,而且必須以所述時(shí)間關(guān)系指明的所述次序訪問(wèn)它們。除了指定對(duì)于單一節(jié)點(diǎn)訪問(wèn)活動(dòng)的時(shí)間次序以外�,還可以通過(guò)聚集把時(shí)間關(guān)系歸入其他節(jié)點(diǎn)之內(nèi)。圖1中的項(xiàng)目1141展示了這一點(diǎn)�����。項(xiàng)目1141具有與所述節(jié)點(diǎn)相關(guān)聯(lián)的三個(gè)訪問(wèn)項(xiàng)目�����,項(xiàng)目1024�����、1142和1043�。如圖所示,已經(jīng)確認(rèn)的時(shí)間次序指明1024→1142→1043�����。不過(guò)�,項(xiàng)目1142是訪問(wèn)操作的聚集�。因此項(xiàng)目1142標(biāo)識(shí)的所述操作變?yōu)闅w入項(xiàng)目1141的整體時(shí)間次序中�,完全的時(shí)間次序?yàn)?024→1041→1042→1043,其中原始時(shí)間次序中的項(xiàng)目1142已經(jīng)被替換為其組成部分���,1041→1042�。
圖3是所述時(shí)間次序表(TOT)�����,它鎖定了上述關(guān)系��。所述TOT用于鎖定若干動(dòng)作的所述相對(duì)時(shí)間次序��,允許相對(duì)的或近似的時(shí)間模式匹配��,以便識(shí)別不利的動(dòng)作�����。所以����,對(duì)于對(duì)節(jié)點(diǎn)d��,項(xiàng)目1142的訪問(wèn),所述表格顯示出���,首先進(jìn)行所述dir操作�����,項(xiàng)目1041����,接著是所述exec操作���,項(xiàng)目1042����。這種次序顯示在標(biāo)注著“d”的行中�����,以數(shù)字對(duì)所述列中列出的所述訪問(wèn)進(jìn)行排序����。圖3進(jìn)一步顯示出,對(duì)于節(jié)點(diǎn)e���,項(xiàng)目1141�,最初的訪問(wèn)是數(shù)據(jù)類D,項(xiàng)目1024��,接著是節(jié)點(diǎn)d���,項(xiàng)目1142的所述組成元素�,所述dir�,項(xiàng)目1041和exec,項(xiàng)目1042操作��。在這種情況下�����,標(biāo)注著“e”的行使用數(shù)字值存儲(chǔ)著所述訪問(wèn)的所述次序��。在“e”行的情況下��,所包括的與節(jié)點(diǎn)d�,項(xiàng)目1142相關(guān)聯(lián)的所述訪問(wèn)次序顯示為2.1和2.2�,表示出以下事實(shí)這兩個(gè)訪問(wèn)都劃分為節(jié)點(diǎn)e,項(xiàng)目1141所用的所述時(shí)間次序中的次級(jí)項(xiàng)目��,這些劃分的項(xiàng)目所用的所述次序以2后面的第二個(gè)數(shù)字指明。
現(xiàn)在參考圖4A����,其中顯示了本發(fā)明中可以使用的過(guò)程/用戶訪問(wèn)表(PUAT)的實(shí)例。所述PUAT是訪問(wèn)授權(quán)表��,它顯示出為了訪問(wèn)圖1中所述對(duì)象類型102或系統(tǒng)功能104���,每個(gè)具體過(guò)程或用戶需要具有的所述最低安全級(jí)別�。例如��,圖3顯示出為了訪問(wèn)信息類型B�,(至少最初)可以要求用戶1-5具有至少一(1)的安全訪問(wèn)級(jí)別。由于圖4A中的用戶1-5都具有至少一(1)的安全訪問(wèn)級(jí)別��,這意味著所有用戶至少最初都能夠訪問(wèn)信息類型B�����。
不過(guò)重要的是�,所述PUAT是動(dòng)態(tài)表格,根據(jù)訪問(wèn)歷史和/或確認(rèn)的時(shí)間模式����,可以改變某個(gè)具體過(guò)程或用戶訪問(wèn)某個(gè)具體對(duì)象類型102或系統(tǒng)功能104所需的所述最低安全級(jí)別�����。以這種方式��,根據(jù)具體過(guò)程或用戶的訪問(wèn)歷史�,為每個(gè)用戶動(dòng)態(tài)地維持訪問(wèn)授權(quán)��,使得系統(tǒng)對(duì)象能夠具有訪問(wèn)分類的多個(gè)級(jí)別��。
圖2A中展示了訪問(wèn)操作和聚集節(jié)點(diǎn)的全集的所述傳遞閉包表����。對(duì)于所述聚集節(jié)點(diǎn)中的每一個(gè),通過(guò)對(duì)所述基本動(dòng)作表增加一行和一列�����,就獲得了所述傳遞閉包表�����。這就產(chǎn)生了n行n列的表�,行和列的數(shù)目相等��,并且行和列的數(shù)目等于基本操作數(shù)目與聚集節(jié)點(diǎn)數(shù)目之和。然后��,圖2A中所述POSET之所述傳遞閉包表的子集���,項(xiàng)目202����,用于產(chǎn)生圖5所展示的組合分類表(CCT)���。通過(guò)提取所述傳遞閉包表的所述子集���,項(xiàng)目202,對(duì)應(yīng)于所述列中顯示的所述聚集集合以及所述行中顯示的所述基本操作�����,就獲得了所述CCT�。這個(gè)子集確認(rèn)了所述基本訪問(wèn)操作和與其相關(guān)聯(lián)的所述聚集的間的所述依賴。然后�,所述傳遞閉包的這個(gè)子集,項(xiàng)目202��,以其對(duì)角線為軸轉(zhuǎn)置,就形成了所述聚集項(xiàng)目a至e為所述行���,所述基本訪問(wèn)操作為所述列�����,如圖2B所示����。最后��,對(duì)每行都進(jìn)行檢查���,對(duì)于包含1條目的每一列���,把所述數(shù)字1替換為與所述聚集相關(guān)聯(lián)的所述安全訪問(wèn)級(jí)別。這就產(chǎn)生了如圖5所示的最終CCT��。
圖6和圖7中顯示了用于理解本發(fā)明的流程圖�����。如圖所示��,通過(guò)監(jiān)視計(jì)算機(jī)系統(tǒng)用戶和/或過(guò)程發(fā)出的請(qǐng)求,所述過(guò)程可以在圖6的步驟602中開(kāi)始�。在步驟604中對(duì)消息進(jìn)行測(cè)試,以便判斷它們是否包含訪問(wèn)信息類型或系統(tǒng)功能的請(qǐng)求���。如果是,那么所述系統(tǒng)就進(jìn)至步驟606�����,以便判斷所述請(qǐng)求是否完成了所述具體用戶的時(shí)間訪問(wèn)模式����。如果所述請(qǐng)求確實(shí)完成了時(shí)間訪問(wèn)模式,這就意味著已執(zhí)行的所述操作序列符合確認(rèn)的模式���,并且遵守為該時(shí)間次序指定的所述安全訪問(wèn)級(jí)別��。如果時(shí)間模式完成了�,就把所述用戶的訪問(wèn)級(jí)別與所請(qǐng)求的訪問(wèn)動(dòng)作所需的所述訪問(wèn)級(jí)別進(jìn)行對(duì)比���,如步驟607所示�����。注意�,為了強(qiáng)化所述安全策略,基本訪問(wèn)操作的所示時(shí)間次序要求以所述指定的次序進(jìn)行所述操作�����。因此在圖1中�,如果首先訪問(wèn)1042,接著是項(xiàng)目1041����,將不啟動(dòng)與節(jié)點(diǎn)d,項(xiàng)目1042相關(guān)聯(lián)的所述安全策略����,因?yàn)椴粷M足所述時(shí)間次序。如果所述用戶的所述訪問(wèn)級(jí)別對(duì)于所請(qǐng)求的動(dòng)作不足��,那么在步驟608中拒絕所述請(qǐng)求��。
如果所述請(qǐng)求沒(méi)有完成所述具體用戶的時(shí)間訪問(wèn)模式或者所述用戶的訪問(wèn)級(jí)別對(duì)于所述已完成的時(shí)間模式足夠���,那么所述系統(tǒng)就進(jìn)至步驟610����,把所述請(qǐng)求登錄在所述時(shí)間訪問(wèn)表(TAT)中。如圖4B所示��,所述時(shí)間訪問(wèn)表保存著用戶進(jìn)行的所述基本操作的歷史��。隨著對(duì)用戶準(zhǔn)許授權(quán)進(jìn)行基本訪問(wèn)操作�,對(duì)所述操作進(jìn)行時(shí)間標(biāo)記并存儲(chǔ)在所述TAT之內(nèi)。所述時(shí)間標(biāo)記與圖3的所述時(shí)間次序表中確認(rèn)的所述時(shí)間模式進(jìn)行對(duì)比�����,以便檢驗(yàn)是否匹配��。因此���,在圖4B中用戶1在時(shí)間102進(jìn)行dir操作,然后在時(shí)間112進(jìn)行exec操作���。由于112在102之后�����,這個(gè)請(qǐng)求會(huì)在所述時(shí)間次序表中觸發(fā)對(duì)圖1中節(jié)點(diǎn)d����,項(xiàng)目1042的匹配檢驗(yàn),所述請(qǐng)求會(huì)被拒絕����。不過(guò),在用戶3的情況下�,在時(shí)間103進(jìn)行所述exec操作,接著在時(shí)間111進(jìn)行所述dir操作�。這一對(duì)不符合所定義的時(shí)間次序,而允許所述操作��。
在步驟612中�����,所述計(jì)算機(jī)系統(tǒng)進(jìn)行判斷�����,進(jìn)行所述請(qǐng)求之所述用戶的所述安全訪問(wèn)級(jí)別是否低于所述指定信息類型當(dāng)前所需的所述最低安全訪問(wèn)級(jí)別����。這項(xiàng)判斷可以通過(guò)引用圖4A中所述表格而完成。如果所述用戶不具有至少當(dāng)前所需的所述最低安全訪問(wèn)級(jí)別的授權(quán)��,那么就拒絕所述請(qǐng)求�����。反之,如果所述用戶確實(shí)具有足夠高的安全訪問(wèn)級(jí)別�,那么就在步驟616中準(zhǔn)許所述請(qǐng)求。
聚集節(jié)點(diǎn)112包括兩個(gè)或更多節(jié)點(diǎn)����,它們可以是基本節(jié)點(diǎn)110、其他聚集節(jié)點(diǎn)112或者基本和聚集節(jié)點(diǎn)二者的組合�。所以,與訪問(wèn)組成基本節(jié)點(diǎn)110的成員信息類型和/或系統(tǒng)功能相比�����,這種聚集節(jié)點(diǎn)往往具有更高的所需最低安全級(jí)別才能允許訪問(wèn)�。這是真的����,因?yàn)榫奂臄?shù)據(jù)往往具有更加敏感的性質(zhì),由于它提供了更多的上下文����,并且能夠識(shí)別所述多種單獨(dú)信息類型之間的關(guān)系。因此聚集的信息將不可避免地受到未授權(quán)用戶的更大關(guān)注��,系統(tǒng)管理員將自然希望對(duì)其訪問(wèn)施加更高級(jí)別的限制。
盡管如此�,訪問(wèn)與作為特定聚集節(jié)點(diǎn)中的成員的基本節(jié)點(diǎn)110相關(guān)聯(lián)的全部信息類型或系統(tǒng)功能,在許多情況下將認(rèn)同為等價(jià)于直接訪問(wèn)所述聚集節(jié)點(diǎn)��。所以�����,一旦某個(gè)特定用戶或過(guò)程已經(jīng)訪問(wèn)了一定的信息類型���,可能就需要提高所述用戶或過(guò)程訪問(wèn)一定的其他信息類型的安全授權(quán)級(jí)別���。例如,在兩個(gè)所述數(shù)據(jù)類型都是某個(gè)公共聚集節(jié)點(diǎn)的成員的這些情況下��,這可能是真的��。在這樣的情況下�,可能需要把某個(gè)具體用戶訪問(wèn)基本節(jié)點(diǎn)所需的所述安全授權(quán)級(jí)別提高到至少等于所述基本節(jié)點(diǎn)是其成員的聚集節(jié)點(diǎn)的所述安全授權(quán)級(jí)別。
所以����,所述過(guò)程可以進(jìn)至圖7的步驟702,識(shí)別包含著所請(qǐng)求之信息類型的所述基本節(jié)點(diǎn)是其成員的全部更高級(jí)別的聚集節(jié)點(diǎn)112�����。在步驟704中所述計(jì)算機(jī)系統(tǒng)可以判斷訪問(wèn)所識(shí)別的聚集節(jié)點(diǎn)所需的所述最低安全級(jí)別是否高于所述具體用戶的授權(quán)安全訪問(wèn)級(jí)別。如果是��,那么在步驟706中所述計(jì)算機(jī)系統(tǒng)就可以識(shí)別也是該具體聚集節(jié)點(diǎn)中成員的全部基本節(jié)點(diǎn)����。做到這一點(diǎn)可以通過(guò)例如從所述識(shí)別的聚集節(jié)點(diǎn)沿著全部路徑回到其對(duì)應(yīng)的全部基本節(jié)點(diǎn)。
一旦經(jīng)過(guò)如此識(shí)別����,訪問(wèn)已經(jīng)訪問(wèn)過(guò)的所述信息類型的基本節(jié)點(diǎn)所需的所述最低安全級(jí)別保持不變。不過(guò)���,在步驟708中可以更新所述用戶訪問(wèn)其他所述成員基本節(jié)點(diǎn)(即不同于原始請(qǐng)求的基本節(jié)點(diǎn))所需的所述最低安全級(jí)別���。例如���,假若某個(gè)具體用戶符合訪問(wèn)聚集節(jié)點(diǎn)所需的所述最低安全級(jí)別��,而某個(gè)成員基本節(jié)點(diǎn)是其成員�,也可以提高訪問(wèn)所述成員基本節(jié)點(diǎn)所需的所述最低安全級(jí)別��。
通過(guò)考慮以下展示所述過(guò)程的實(shí)例,可以更好地理解本發(fā)明����。
實(shí)例1參考圖1至圖8,考慮以下情況按照?qǐng)D8A中的PUAT���,為用戶1-5建立了訪問(wèn)授權(quán)�����。具有訪問(wèn)級(jí)別1的用戶2��,U2(1)能夠請(qǐng)求訪問(wèn)信息類型A的對(duì)象1021��,正如過(guò)去關(guān)于步驟604的介紹��。按照步驟606���,所述系統(tǒng)引用圖8B中的所述TOS(時(shí)間次序表),并且判定所述訪問(wèn)請(qǐng)求時(shí)間沒(méi)有完成時(shí)間訪問(wèn)模式��。隨后����,在步驟610中把所述請(qǐng)求按原樣登錄在所述(時(shí)間訪問(wèn)表)中��。按照步驟612�����,對(duì)所述請(qǐng)求進(jìn)行測(cè)試�,以便判斷用戶2是否具有足夠高的訪問(wèn)授權(quán)級(jí)別�。在這種情況下U2(1)≥A(0),所以按照步驟616準(zhǔn)許訪問(wèn)所請(qǐng)求的信息類型A�����。
隨后��,在步驟702中所述計(jì)算機(jī)系統(tǒng)可以使用圖8C中的所述CCT(組合分類表)�,識(shí)別帶有對(duì)象A的聚集。在步驟704中��,所述系統(tǒng)檢驗(yàn)以便判斷訪問(wèn)類型“a”的所述聚集節(jié)點(diǎn)1121所需的所述最低安全級(jí)別是否高于所述用戶的授權(quán)安全訪問(wèn)級(jí)別�����。在這種情況下�,由于所述用戶的授權(quán)安全訪問(wèn)級(jí)別為1,而訪問(wèn)類型“a”的聚集節(jié)點(diǎn)1121所需的所述最低級(jí)別等于2����,所述條件滿足。所以���,所述系統(tǒng)進(jìn)至步驟706���,識(shí)別類型“a”的聚集節(jié)點(diǎn)1121之部分的任何其他基本節(jié)點(diǎn)110。在這種情況下���,所述系統(tǒng)識(shí)別出信息類型B為類型“a”之所述聚集中的成員��。
隨后����,在步驟708中�����,更新圖8A中的所述PUAT��,使得(1)訪問(wèn)所述原始請(qǐng)求的信息類型“A”之基本節(jié)點(diǎn)110所需的所述最低安全級(jí)別保持不變���;(2)更新所述聚集節(jié)點(diǎn)1121的所述其他成員�,使得其所需的最低安全級(jí)別提高到等于為所述聚集節(jié)點(diǎn)“a”建立的所需的所述最低安全級(jí)別。這可以表示如下如果PUAT(i)<CCT(i)��,那么CCT(i)→PUAT(i)�����。所述結(jié)果是更新后的PUAT表���,如圖8D所示���。
圖8D中所述更新后的表顯示出,對(duì)于信息類型A的所述基本節(jié)點(diǎn)110��,所述最低安全訪問(wèn)級(jí)別繼續(xù)為零�����。圖8D中對(duì)于信息類型A的所述記法0/1指明所述對(duì)象具有零安全級(jí)別�,而且是用戶2訪問(wèn)的第一個(gè)對(duì)象。不過(guò)�����,對(duì)于用戶2�����,在圖8D的所述PUAT中��,訪問(wèn)信息類型B之對(duì)象的所述最低安全級(jí)別已經(jīng)提高到級(jí)別2����。
隨后,如果具有訪問(wèn)級(jí)別1的用戶2����,U2(1),請(qǐng)求訪問(wèn)信息類型B的對(duì)象1022����,所述系統(tǒng)將在步驟606中判定所述訪問(wèn)請(qǐng)求時(shí)間沒(méi)有完成時(shí)間訪問(wèn)模式。做到這一點(diǎn)是通過(guò)對(duì)比所述訪問(wèn)時(shí)間和圖8E中的所述TOT���。所述TOT沒(méi)有從圖8B中其早先的狀態(tài)改變�,所以所述請(qǐng)求在步驟606中沒(méi)有受到拒絕���。不過(guò)��,在步驟612中�,圖8D的所述更新后的PUAT的檢驗(yàn)表明,對(duì)于用戶2訪問(wèn)信息類型B所需的所述最低安全級(jí)別現(xiàn)在設(shè)定為級(jí)別2���。所以�����,所述請(qǐng)求在步驟614中被拒絕�����。這可以表示為U2(1)≥A(2)����,所以拒絕訪問(wèn)����。
實(shí)例2參考圖1至圖9,考慮以下情況按照?qǐng)D9A中的PUAT�����,為用戶1-5建立了訪問(wèn)授權(quán)�。具有訪問(wèn)級(jí)別2的用戶3��,U3(2)能夠請(qǐng)求訪問(wèn)信息類型A的對(duì)象1021�����,正如過(guò)去關(guān)于步驟604的介紹。按照步驟606����,所述系統(tǒng)引用圖9B中的所述TOS(時(shí)間次序表),并且判定所述訪問(wèn)請(qǐng)求時(shí)間沒(méi)有完成時(shí)間訪問(wèn)模式��。隨后�,在步驟610中把所述請(qǐng)求按原樣登錄。按照步驟612�����,對(duì)所述請(qǐng)求進(jìn)行測(cè)試����,以便判斷用戶3是否具有足夠高的訪問(wèn)授權(quán)級(jí)別。在這種情況下U3(2)≥A(0)���,所以按照步驟616準(zhǔn)許訪問(wèn)所請(qǐng)求的對(duì)象1022���。
隨后�,在步驟702中所述計(jì)算機(jī)系統(tǒng)可以使用圖9C中的所述CCT(組合分類表)�,識(shí)別帶有對(duì)象A的聚集。在步驟704中����,所述系統(tǒng)檢驗(yàn)以便判斷訪問(wèn)類型“a”的所述聚集節(jié)點(diǎn)1121所需的所述最低安全級(jí)別是否高于用戶3的所述授權(quán)安全訪問(wèn)級(jí)別。在這種情況下�,由于所述用戶的授權(quán)安全訪問(wèn)級(jí)別為2,而訪問(wèn)聚集節(jié)點(diǎn)1121(即類型“a”)所需的所述最低級(jí)別等于2�,所述條件不滿足。所以����,所述系統(tǒng)得出結(jié)論,所述用戶具有足夠的安全訪問(wèn)級(jí)別���,并且進(jìn)至步驟706�,識(shí)別聚集節(jié)點(diǎn)1121之部分的任何其他基本節(jié)點(diǎn)110���。在這種情況下���,所述系統(tǒng)識(shí)別出1022(信息類型B)為所述聚集中的成員�����。
隨后���,在步驟708中,更新圖9A中的所述PUAT�,使得(1)訪問(wèn)所述原始請(qǐng)求的基本節(jié)點(diǎn)110(信息類型“A”)所需的所述最低安全級(jí)別保持不變����;(2)更新類型“a”之所述聚集節(jié)點(diǎn)1121的所述其他成員,使得其所需的最低安全級(jí)別提高到等于為類型“a”之所述聚集節(jié)點(diǎn)1121建立的所需的所述最低安全級(jí)別����。這可以表示如下如果PUAT(i)<CCT(i),那么CCT(i)→PUAT(i)����。所述結(jié)果是更新后的PUAT表,如圖9D所示�。
圖9D中所述更新后的表顯示出,對(duì)于用戶3�����,對(duì)于信息類型A的所述基本節(jié)點(diǎn)1021,所述最低安全訪問(wèn)級(jí)別繼續(xù)為零���。圖9D中對(duì)于信息類型A的所述記法0/1指明所述對(duì)象具有零安全級(jí)別���,而且是用戶3訪問(wèn)的第一個(gè)信息類型。不過(guò)�,在圖9D的所述PUAT中,訪問(wèn)信息類型B之對(duì)象1022的所述最低安全級(jí)別已經(jīng)提高到級(jí)別2�。
隨后,如果具有訪問(wèn)級(jí)別2的用戶3�����,U3(2)����,請(qǐng)求訪問(wèn)信息類型D的對(duì)象1024,所述計(jì)算機(jī)系統(tǒng)將在步驟606中判定所述訪問(wèn)請(qǐng)求時(shí)間沒(méi)有完成時(shí)間訪問(wèn)模式����。做到這一點(diǎn)是通過(guò)對(duì)比所述訪問(wèn)時(shí)間和圖9E中的所述TOT。所述TOT沒(méi)有從圖9B中其早先的狀態(tài)改變����,所以所述請(qǐng)求在步驟606中沒(méi)有受到拒絕��。在步驟612中�����,圖9D的所述更新后的PUAT的檢驗(yàn)表明�����,對(duì)于用戶3訪問(wèn)信息類型D所需的所述最低安全級(jí)別設(shè)定在級(jí)別2(如同在初始時(shí))�����。所以,在步驟616中準(zhǔn)許所述請(qǐng)求�����。這可以表示為U3(2)≥D(2)��,所以準(zhǔn)許訪問(wèn)����。
隨后,在步驟702中所述計(jì)算機(jī)系統(tǒng)可以使用圖9F中的所述CCT(組合分類表),識(shí)別帶有信息類型D之所述對(duì)象的聚集�����。在這種情況下����,節(jié)點(diǎn)1024(信息類型D)是類型“b”的聚集節(jié)點(diǎn)1122中的成員。在步驟704中�����,所述系統(tǒng)檢驗(yàn)以便判斷訪問(wèn)所述聚集節(jié)點(diǎn)1122所需的所述最低安全級(jí)別是否高于所述用戶的授權(quán)安全訪問(wèn)級(jí)別���。在這種情況下����,由于所述用戶的授權(quán)安全訪問(wèn)級(jí)別為2��,而訪問(wèn)類型“b”的聚集節(jié)點(diǎn)1122所需的所述最低級(jí)別等于3����,所述條件滿足。所以�����,所述系統(tǒng)進(jìn)至步驟706,識(shí)別類型“b”的聚集節(jié)點(diǎn)1122之部分的任何其他基本節(jié)點(diǎn)110���。在這種情況下��,所述系統(tǒng)識(shí)別出信息類型A和B(節(jié)點(diǎn)1021和1022)為類型“b”的節(jié)點(diǎn)1122之所述聚集中的成員��。
隨后���,在步驟708中,更新圖9D中的所述PUAT����,使得(1)訪問(wèn)所述原始請(qǐng)求的信息類型“D”的對(duì)象1024所需的所述最低安全級(jí)別保持不變;(2)更新類型“b”之所述聚集節(jié)點(diǎn)1122的所述其他成員�,使得其所需的最低安全級(jí)別提高到等于為信息類型“b”之所述聚集節(jié)點(diǎn)1122建立的所需的所述最低安全級(jí)別。這可以表示如下如果PUAT(i)<CCT(i)����,那么CCT(i)→PUAT(i)�。所述結(jié)果是更新后的PUAT表,如圖9G所示�。
圖9G中所述更新后的表顯示出,對(duì)于信息類型D的所述基本節(jié)點(diǎn)1024,所述最低安全訪問(wèn)級(jí)別繼續(xù)為二�。圖9G中對(duì)于信息類型D的所述記法2/2指明所述對(duì)象1024具有2的安全級(jí)別,而且是用戶3訪問(wèn)的第二個(gè)對(duì)象��。不過(guò)��,對(duì)于用戶3����,在圖9G的所述PUAT中,訪問(wèn)信息類型B之對(duì)象的所述最低安全級(jí)別已經(jīng)提高到級(jí)別3��。
繼續(xù)進(jìn)行上述實(shí)例��,具有訪問(wèn)級(jí)別2的用戶3�,U3(2),可以請(qǐng)求訪問(wèn)信息類型B的對(duì)象1022�����。如圖9H所示��,所述訪問(wèn)請(qǐng)求時(shí)間沒(méi)有完成時(shí)間訪問(wèn)模式(步驟606)����。不過(guò)在步驟612中��,對(duì)用戶3的所述安全授權(quán)級(jí)別和圖9G中所述PUAT指定的���、用戶3進(jìn)行訪問(wèn)所需的所述最低安全級(jí)別進(jìn)行對(duì)比。這項(xiàng)測(cè)試表明����,用戶3(安全授權(quán)級(jí)別2)不具有足夠高的安全級(jí)別以訪問(wèn)信息類型B,它現(xiàn)在具有3的所需最低安全級(jí)別��,至少對(duì)于用戶3的請(qǐng)求是如此����。這可以表示為U3(2)≥B(3)。所以���,進(jìn)行訪問(wèn)的所述請(qǐng)求在步驟614中被拒絕�。
本文介紹的本發(fā)明的布局可以與各式各樣的計(jì)算機(jī)系統(tǒng)連同使用��。它們可以包括獨(dú)立的計(jì)算機(jī)系統(tǒng)���、計(jì)算機(jī)網(wǎng)絡(luò)或者如圖10所示的客戶-服務(wù)器布局。本發(fā)明可以被集成在計(jì)算機(jī)應(yīng)用軟件之內(nèi)��,或者實(shí)施為現(xiàn)有軟件系統(tǒng)的外部組件,以便提供模塊化可存取性�。另外,本發(fā)明不限于與任何特定類型的軟件應(yīng)用程序和任何特定類型的實(shí)體發(fā)出的訪問(wèn)請(qǐng)求一起使用�����。所以�����,按照用戶或過(guò)程發(fā)出的請(qǐng)求本文已經(jīng)介紹的本發(fā)明的范圍應(yīng)當(dāng)被本領(lǐng)域的技術(shù)人員理解為本文介紹的所述技術(shù)可以具有寬廣得多的應(yīng)用���。例如�,對(duì)于操作系統(tǒng)調(diào)用以及/或者識(shí)別遠(yuǎn)程訪問(wèn)的不利模式�,它們可能由計(jì)算機(jī)病毒和蠕蟲發(fā)起的。
再次參考圖10����,應(yīng)當(dāng)認(rèn)同,本發(fā)明可以在一個(gè)計(jì)算機(jī)系統(tǒng)1000中以集中化方式在軟件中實(shí)現(xiàn)����,或者以分布方式實(shí)現(xiàn),不同的要素分散在幾個(gè)互連的計(jì)算機(jī)系統(tǒng)1000���、1002中���。適于進(jìn)行本文介紹的所述方法的任何種類的計(jì)算機(jī)系統(tǒng)或其他裝置都適用�。典型的實(shí)施可以包括通用計(jì)算機(jī)系統(tǒng)�,它帶有的計(jì)算機(jī)程序在加載和執(zhí)行時(shí)控制著所述計(jì)算機(jī)系統(tǒng),使得它進(jìn)行本文介紹的所述方法���。
本發(fā)明也可以嵌入在計(jì)算機(jī)程序產(chǎn)品中����,它包括能夠?qū)嵤┍疚慕榻B的所述方法的全部特點(diǎn)�����,它在加載到計(jì)算機(jī)系統(tǒng)中時(shí)能夠進(jìn)行這些方法���。在本發(fā)明語(yǔ)境中計(jì)算機(jī)程序意味著意在使具有信息處理能力的系統(tǒng)執(zhí)行特定功能的指令集合以任何語(yǔ)言��、代碼或符號(hào)的任何表達(dá)���,或者直接執(zhí)行,或者在以下二者或其一之后執(zhí)行a)轉(zhuǎn)換為另一種語(yǔ)言、代碼或符號(hào)���;b)在不同的材料形式中再現(xiàn)。
權(quán)利要求
1.一種用于安全訪問(wèn)計(jì)算機(jī)系統(tǒng)的方法��,包括以下步驟在所述計(jì)算機(jī)系統(tǒng)中從具有預(yù)定的訪問(wèn)級(jí)別的實(shí)體接收要對(duì)表示信息類型和計(jì)算機(jī)系統(tǒng)功能至少其中之一的第一基本節(jié)點(diǎn)進(jìn)行訪問(wèn)的請(qǐng)求�;判斷所述訪問(wèn)請(qǐng)求是否完成所述實(shí)體的禁止的時(shí)間訪問(wèn)模式;以及對(duì)比為所述第一基本節(jié)點(diǎn)建立的最低訪問(wèn)級(jí)別和所述預(yù)定訪問(wèn)級(jí)別�;以及只有在所述訪問(wèn)請(qǐng)求沒(méi)有完成所述實(shí)體的禁止的時(shí)間訪問(wèn)模式,而且所述第一基本節(jié)點(diǎn)的所述最低訪問(wèn)級(jí)別不超過(guò)所述預(yù)定訪問(wèn)級(jí)別時(shí)�����,才準(zhǔn)許所述訪問(wèn)請(qǐng)求���。
2.根據(jù)權(quán)利要求1的方法���,進(jìn)一步包括以下步驟如果所述訪問(wèn)請(qǐng)求完成所述實(shí)體的禁止的時(shí)間訪問(wèn)模式,就拒絕所述請(qǐng)求����。
3.根據(jù)權(quán)利要求1的方法,進(jìn)一步包括以下步驟如果所述第一基本節(jié)點(diǎn)的所述最低訪問(wèn)級(jí)別超過(guò)了所述實(shí)體的所述預(yù)定訪問(wèn)級(jí)別�,就拒絕所述請(qǐng)求。
4.根據(jù)權(quán)利要求1的方法�,進(jìn)一步包括以下步驟把所述計(jì)算機(jī)系統(tǒng)邏輯地組織為具有多個(gè)葉節(jié)點(diǎn)和更高級(jí)別節(jié)點(diǎn)的樹(shù)狀層次的形式��;把多個(gè)所述基本節(jié)點(diǎn)定義為各自包含所述樹(shù)狀層次的多個(gè)葉節(jié)點(diǎn)�����;以及把所述更高級(jí)別節(jié)點(diǎn)定義為所述基本節(jié)點(diǎn)的聚集����。
5.根據(jù)權(quán)利要求1的方法����,進(jìn)一步包括以下步驟對(duì)比所述實(shí)體的預(yù)定訪問(wèn)級(jí)別與作為包含所述第一基本節(jié)點(diǎn)的基本節(jié)點(diǎn)聚集的至少一個(gè)更高級(jí)別節(jié)點(diǎn)的所需的所述最低訪問(wèn)級(jí)別;以及如果包含所述聚集的所述更高級(jí)別節(jié)點(diǎn)的所需的最低訪問(wèn)級(jí)別具有高于所述實(shí)體的預(yù)定訪問(wèn)級(jí)別的所需訪問(wèn)級(jí)別����,則對(duì)于也是包含所述第一基本節(jié)點(diǎn)的任何聚集的成員的任何所述基本節(jié)點(diǎn),更新其所需的最低訪問(wèn)級(jí)別�����。
6.一種安全的計(jì)算機(jī)系統(tǒng)�,包括多個(gè)邏輯基本節(jié)點(diǎn)���,表示信息類型和計(jì)算機(jī)系統(tǒng)功能至少其中之一���;多個(gè)更高級(jí)別的節(jié)點(diǎn)���,以樹(shù)狀層次的形式與所述基本節(jié)點(diǎn)安排在一起�;計(jì)算機(jī)系統(tǒng)接口,能夠從具有預(yù)定的訪問(wèn)級(jí)別的實(shí)體接收要對(duì)第一基本節(jié)點(diǎn)進(jìn)行訪問(wèn)的請(qǐng)求���;時(shí)間訪問(wèn)表�����;處理裝置�����,編程為對(duì)比所述訪問(wèn)請(qǐng)求和所述時(shí)間訪問(wèn)表�,以便判斷所述訪問(wèn)請(qǐng)求是否完成了所述實(shí)體的禁止的時(shí)間訪問(wèn)模式����,以及對(duì)比為所述第一基本節(jié)點(diǎn)建立的最低訪問(wèn)級(jí)別和所述預(yù)定訪問(wèn)級(jí)別����;以及只有在所述訪問(wèn)請(qǐng)求沒(méi)有完成所述實(shí)體的禁止的時(shí)間訪問(wèn)模式,而且所述第一基本節(jié)點(diǎn)的所述最低訪問(wèn)級(jí)別不超過(guò)所述預(yù)定訪問(wèn)級(jí)別時(shí)�����,所述處理裝置才準(zhǔn)許所述訪問(wèn)請(qǐng)求��。
7.根據(jù)權(quán)利要求6的安全計(jì)算機(jī)系統(tǒng)����,其特征在于,如果所述訪問(wèn)請(qǐng)求完成所述實(shí)體的禁止的時(shí)間訪問(wèn)模式,所述處理裝置就拒絕所述請(qǐng)求�����。
8.根據(jù)權(quán)利要求6的安全計(jì)算機(jī)系統(tǒng),其特征在于��,如果所述第一基本節(jié)點(diǎn)的所述最低訪問(wèn)級(jí)別超過(guò)了所述實(shí)體的所述預(yù)定訪問(wèn)級(jí)別,所述處理裝置就拒絕所述請(qǐng)求���。
9.根據(jù)權(quán)利要求6的安全計(jì)算機(jī)系統(tǒng)����,其特征在于���,所述更高級(jí)別的節(jié)點(diǎn)是所述基本節(jié)點(diǎn)聚集。
10.根據(jù)權(quán)利要求6的安全計(jì)算機(jī)系統(tǒng),其特征在于���,所述處理裝置對(duì)比所述實(shí)體的預(yù)定訪問(wèn)級(jí)別與作為包含所述第一基本節(jié)點(diǎn)的基本節(jié)點(diǎn)聚集的至少一個(gè)更高級(jí)別節(jié)點(diǎn)的所需的所述最低訪問(wèn)級(jí)別���;以及如果包含所述聚集的所述更高級(jí)別節(jié)點(diǎn)的所需的最低訪問(wèn)級(jí)別具有高于所述實(shí)體的預(yù)定訪問(wèn)級(jí)別的所需訪問(wèn)級(jí)別���,對(duì)于也是包含所述第一基本節(jié)點(diǎn)的任何聚集的成員的任何所述基本節(jié)點(diǎn),更新其所需的最低訪問(wèn)級(jí)別。
全文摘要
公開(kāi)了確保安全訪問(wèn)計(jì)算機(jī)系統(tǒng)(1000)所用的方法和裝置。所述方法可以開(kāi)始于在所述計(jì)算機(jī)系統(tǒng)中(使用1002)從某個(gè)實(shí)體接收請(qǐng)求的步驟��。所述實(shí)體可以具有預(yù)定的訪問(wèn)授權(quán)級(jí)別��,用于對(duì)表示信息類型(102)或計(jì)算機(jī)系統(tǒng)功能(104)的第一基本節(jié)點(diǎn)(110)進(jìn)行訪問(wèn)���。所述系統(tǒng)判斷所述訪問(wèn)請(qǐng)求是否完成了所述實(shí)體的禁止的時(shí)間訪問(wèn)模式��。所述系統(tǒng)還對(duì)比為所述第一基本節(jié)點(diǎn)建立的最低訪問(wèn)級(jí)別和分配給所述實(shí)體的所述預(yù)定訪問(wèn)授權(quán)級(jí)別。然后��,只有在所述第一基本節(jié)點(diǎn)的所述最低訪問(wèn)級(jí)別不超過(guò)所述預(yù)定訪問(wèn)授權(quán)級(jí)別時(shí),所述系統(tǒng)才準(zhǔn)許所述訪問(wèn)請(qǐng)求����。
文檔編號(hào)G06F21/00GK1667544SQ200510054559
公開(kāi)日2005年9月14日 申請(qǐng)日期2005年3月11日 優(yōu)先權(quán)日2004年3月11日
發(fā)明者小文森特·J.·科瓦里克 申請(qǐng)人:哈里公司