專利名稱:采用自適應(yīng)格機制加強計算機安全的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及確保安全訪問計算機系統(tǒng)所用的方法。
發(fā)明內(nèi)容
所述方法可以包括若干步驟。所述方法可以開始于在所述計算機系統(tǒng)中從某個實體接收請求的步驟。所述實體可以是用戶或過程,并且可以具有預(yù)定的訪問授權(quán)級別,用于對表示信息類型或計算機系統(tǒng)功能的第一基本節(jié)點進行訪問。所述計算機系統(tǒng)判斷所述訪問請求是否完成了所述實體的禁止的時間訪問模式。如果是,就拒絕所述請求。否則,所述系統(tǒng)可以對比為所述第一基本節(jié)點建立的最低訪問級別和分配給所述實體的所述預(yù)定訪問授權(quán)級別。然后,只有在所述第一基本節(jié)點的所述最低訪問級別不超過所述預(yù)定訪問授權(quán)級別時,所述系統(tǒng)才準(zhǔn)許所述訪問請求。所述方法也可以包括以下步驟如果所述第一基本節(jié)點的所述最低訪問級別超過了分配給所述實體的所述預(yù)定訪問授權(quán)級別,就拒絕所述請求。
所述方法也可以包括把所述計算機系統(tǒng)邏輯地組織為具有多個葉節(jié)點和更高級別節(jié)點的樹狀層次的形式。多個所述基本節(jié)點可以定義為各自包含所述樹狀層次的多個葉節(jié)點。更高級別節(jié)點可以定義為所述基本節(jié)點的聚集。另外,所述方法可以包括以下步驟在所述層次之內(nèi)識別任何更高級別節(jié)點,所述更高級別節(jié)點是包含所述第一基本節(jié)點的聚集。
所述方法也可以包括在所述層次之內(nèi)識別直接或間接包含以下子節(jié)點的任何節(jié)點,所述子節(jié)點是包含所述第一基本節(jié)點的聚集的任何所述更高級別節(jié)點的子節(jié)點。然后對于直接或間接包含以下子節(jié)點的任何基本節(jié)點,可以更新所需的所述最低訪問級別,所述子節(jié)點是包含所述第一基本節(jié)點的聚集的任何所述更高級別節(jié)點的子節(jié)點。
例如所述更新步驟可以包括對比所述實體的預(yù)定訪問授權(quán)級別與作為包含所述第一基本節(jié)點的聚集的所述更高級別節(jié)點的所需的所述最低訪問級別。然后,如果包含所述聚集的所述更高級別節(jié)點的所需最低訪問級別具有高于所述實體的預(yù)定訪問級別的所需訪問級別,對于也是包含所述第一基本節(jié)點的任何聚集的成員的任何所述基本節(jié)點,也可以更新其所需的最低訪問級別。
附圖簡要說明
圖1是數(shù)據(jù)基本要素和層次圖的表達(dá),用于理解本發(fā)明;圖2A和圖2B是帶有傳遞閉包表的部分排序后集合的實例;圖3是時間次序表的實例;圖4A是過程/用戶訪問表的實例;圖4B是時間訪問表的實例;圖5是組合分類表的實例;圖6是一幅流程圖,用于理解本發(fā)明;圖7是一幅流程圖,用于理解本發(fā)明;圖8A至圖8E顯示了一系列表格,用于理解在一個實例中如何運行本發(fā)明的過程;圖9A至圖9H顯示了一系列表格,用于理解在第二個實例中如何運行本發(fā)明的過程;圖10是一幅計算機系統(tǒng)圖,用于理解本發(fā)明布局的實施。
具體實施例方式
本發(fā)明涉及的方法和系統(tǒng)使用自適應(yīng)格機制來加強計算機安全。數(shù)據(jù)和功能訪問安全級別構(gòu)成了控制訪問的最初基礎(chǔ)。這些安全訪問基本要素可以組織在部分排序后集合(POSET)之內(nèi),以便定義分層次的有向圖。所述安全訪問基本要素可以構(gòu)成所述分層次的有向圖中的基本節(jié)點。所述圖之內(nèi)的更高級別節(jié)點表示信息聚集集合和/或訪問的時間模式。所述圖之內(nèi)的每個所述節(jié)點都可以具有相關(guān)聯(lián)的安全級別,它表示所述具體的聚集或模式所用的強制安全級別。對于每個用戶/過程都動態(tài)地維持訪問授權(quán),從而能夠根據(jù)每個用戶的訪問歷史,使系統(tǒng)對象具有多個訪問分類級別。
現(xiàn)在參考圖1,安全的計算機系統(tǒng)可以包含多個對象類型1021-1024和系統(tǒng)功能1041-1043。所述對象類型可以包括一種或多種信息類型A、B、C、D。對象類型的示例106可以包括多種類型的實例108,如圖所示。另外,每種對象類型都可以具有與之相關(guān)聯(lián)的所需的最低安全訪問級別。在圖1中,對于每個對象類型1021-1024,所需的所述最低安全訪問級別表示在與標(biāo)識所述信息類型的字母一起的在括號中。例如,圖1中的對象1024標(biāo)注為“D(2)”。括號中的所述數(shù)字2表明,信息類型D具有的所需的最低安全訪問級別為2。請求訪問對象類型D的任何示例的任何過程或用戶具有的安全訪問級別必須高于或等于2。同樣,訪問對象1022——顯示為B(1)——需要的安全訪問級別為1或更高。
系統(tǒng)功能1041-1043表示過程或用戶能夠訪問的功能。在圖1中,所述功能顯示為包括目錄(dir)、執(zhí)行(exec)和刪除(del)。不過應(yīng)當(dāng)理解,這些僅僅是為了說明計算機系統(tǒng)功能的某些實例,而本發(fā)明不限于計算機系統(tǒng)功能的任何具體類型。類似于以上關(guān)于對象類型1021-1024介紹的所述記法,圖1中每個系統(tǒng)功能1041-1043之后也跟隨著括號中的數(shù)字。所述數(shù)字表示訪問該具體功能的任何過程或用戶需要的最低安全訪問級別。因此例如,標(biāo)注為exec(2)的所述“exec”系統(tǒng)功能需要過程或用戶具有的安全級別至少為2才能訪問該功能。
所述多種對象類型1021-1024和系統(tǒng)功能1041-1043能夠表示在圖1所示的層次樹狀圖中。根據(jù)本發(fā)明的一個方面,所述多種對象類型和系統(tǒng)功能能夠定義為所述層次樹100中的多個葉或基本節(jié)點110。另外,還可以構(gòu)建更高級別的節(jié)點110,以便表示基本節(jié)點110的聚集。如圖1所示,更高級別的節(jié)點112可以包括基本節(jié)點110的聚集,以及更高層次的聚集,即過去構(gòu)建的聚集的聚集。
根據(jù)本發(fā)明的一個實施例,通過把所述對象類型1021-1024和系統(tǒng)功能1041-1043組織在部分排序集合(POSET)之內(nèi),可以實施圖1中的所述分層次的有向圖。POSET定義了在元素的集合之內(nèi),元素對之間存在的關(guān)系,如x→R→y。在元素的所述集合之內(nèi),存在著若干元素對,如m和n,對于它們,關(guān)系R不存在。因此,所述集合是部分排序的。所以,POSET可以具有多個根和葉節(jié)點,與樹結(jié)構(gòu)不同,它具有單一的根節(jié)點和多個葉節(jié)點。因為表示信息訪問和操作功能(要對其強化所述安全操作)之根節(jié)點的所述多重性,所述POSET用于表示安全關(guān)系的多重性。圖2A是帶有傳遞閉包表202的這種POSET200的實例,對于圖1中的所述層次樹100可以產(chǎn)生這種POSET。
再次參考圖1,可見對于時間訪問模式可以產(chǎn)生若干關(guān)系。在這幅圖中標(biāo)注著T1的彎曲箭頭指明了項目1141和1142所定義的所述訪問之間的時間次序。因此,對于項目1142,在項目1041和1042之間產(chǎn)生了時間次序,如1041→1042。因此,節(jié)點d(3)不僅標(biāo)識由1041和1042注明之所述基本要素功能的聚集,而且指定了存在著明顯的時間次序在1042之前訪問1041。所以,要啟動與項目1142相關(guān)聯(lián)的所述安全策略,不僅1041和1042都必須訪問,而且必須以所述時間關(guān)系指明的所述次序訪問它們。除了指定對于單一節(jié)點訪問活動的時間次序以外,還可以通過聚集把時間關(guān)系歸入其他節(jié)點之內(nèi)。圖1中的項目1141展示了這一點。項目1141具有與所述節(jié)點相關(guān)聯(lián)的三個訪問項目,項目1024、1142和1043。如圖所示,已經(jīng)確認(rèn)的時間次序指明1024→1142→1043。不過,項目1142是訪問操作的聚集。因此項目1142標(biāo)識的所述操作變?yōu)闅w入項目1141的整體時間次序中,完全的時間次序為1024→1041→1042→1043,其中原始時間次序中的項目1142已經(jīng)被替換為其組成部分,1041→1042。
圖3是所述時間次序表(TOT),它鎖定了上述關(guān)系。所述TOT用于鎖定若干動作的所述相對時間次序,允許相對的或近似的時間模式匹配,以便識別不利的動作。所以,對于對節(jié)點d,項目1142的訪問,所述表格顯示出,首先進行所述dir操作,項目1041,接著是所述exec操作,項目1042。這種次序顯示在標(biāo)注著“d”的行中,以數(shù)字對所述列中列出的所述訪問進行排序。圖3進一步顯示出,對于節(jié)點e,項目1141,最初的訪問是數(shù)據(jù)類D,項目1024,接著是節(jié)點d,項目1142的所述組成元素,所述dir,項目1041和exec,項目1042操作。在這種情況下,標(biāo)注著“e”的行使用數(shù)字值存儲著所述訪問的所述次序。在“e”行的情況下,所包括的與節(jié)點d,項目1142相關(guān)聯(lián)的所述訪問次序顯示為2.1和2.2,表示出以下事實這兩個訪問都劃分為節(jié)點e,項目1141所用的所述時間次序中的次級項目,這些劃分的項目所用的所述次序以2后面的第二個數(shù)字指明。
現(xiàn)在參考圖4A,其中顯示了本發(fā)明中可以使用的過程/用戶訪問表(PUAT)的實例。所述PUAT是訪問授權(quán)表,它顯示出為了訪問圖1中所述對象類型102或系統(tǒng)功能104,每個具體過程或用戶需要具有的所述最低安全級別。例如,圖3顯示出為了訪問信息類型B,(至少最初)可以要求用戶1-5具有至少一(1)的安全訪問級別。由于圖4A中的用戶1-5都具有至少一(1)的安全訪問級別,這意味著所有用戶至少最初都能夠訪問信息類型B。
不過重要的是,所述PUAT是動態(tài)表格,根據(jù)訪問歷史和/或確認(rèn)的時間模式,可以改變某個具體過程或用戶訪問某個具體對象類型102或系統(tǒng)功能104所需的所述最低安全級別。以這種方式,根據(jù)具體過程或用戶的訪問歷史,為每個用戶動態(tài)地維持訪問授權(quán),使得系統(tǒng)對象能夠具有訪問分類的多個級別。
圖2A中展示了訪問操作和聚集節(jié)點的全集的所述傳遞閉包表。對于所述聚集節(jié)點中的每一個,通過對所述基本動作表增加一行和一列,就獲得了所述傳遞閉包表。這就產(chǎn)生了n行n列的表,行和列的數(shù)目相等,并且行和列的數(shù)目等于基本操作數(shù)目與聚集節(jié)點數(shù)目之和。然后,圖2A中所述POSET之所述傳遞閉包表的子集,項目202,用于產(chǎn)生圖5所展示的組合分類表(CCT)。通過提取所述傳遞閉包表的所述子集,項目202,對應(yīng)于所述列中顯示的所述聚集集合以及所述行中顯示的所述基本操作,就獲得了所述CCT。這個子集確認(rèn)了所述基本訪問操作和與其相關(guān)聯(lián)的所述聚集的間的所述依賴。然后,所述傳遞閉包的這個子集,項目202,以其對角線為軸轉(zhuǎn)置,就形成了所述聚集項目a至e為所述行,所述基本訪問操作為所述列,如圖2B所示。最后,對每行都進行檢查,對于包含1條目的每一列,把所述數(shù)字1替換為與所述聚集相關(guān)聯(lián)的所述安全訪問級別。這就產(chǎn)生了如圖5所示的最終CCT。
圖6和圖7中顯示了用于理解本發(fā)明的流程圖。如圖所示,通過監(jiān)視計算機系統(tǒng)用戶和/或過程發(fā)出的請求,所述過程可以在圖6的步驟602中開始。在步驟604中對消息進行測試,以便判斷它們是否包含訪問信息類型或系統(tǒng)功能的請求。如果是,那么所述系統(tǒng)就進至步驟606,以便判斷所述請求是否完成了所述具體用戶的時間訪問模式。如果所述請求確實完成了時間訪問模式,這就意味著已執(zhí)行的所述操作序列符合確認(rèn)的模式,并且遵守為該時間次序指定的所述安全訪問級別。如果時間模式完成了,就把所述用戶的訪問級別與所請求的訪問動作所需的所述訪問級別進行對比,如步驟607所示。注意,為了強化所述安全策略,基本訪問操作的所示時間次序要求以所述指定的次序進行所述操作。因此在圖1中,如果首先訪問1042,接著是項目1041,將不啟動與節(jié)點d,項目1042相關(guān)聯(lián)的所述安全策略,因為不滿足所述時間次序。如果所述用戶的所述訪問級別對于所請求的動作不足,那么在步驟608中拒絕所述請求。
如果所述請求沒有完成所述具體用戶的時間訪問模式或者所述用戶的訪問級別對于所述已完成的時間模式足夠,那么所述系統(tǒng)就進至步驟610,把所述請求登錄在所述時間訪問表(TAT)中。如圖4B所示,所述時間訪問表保存著用戶進行的所述基本操作的歷史。隨著對用戶準(zhǔn)許授權(quán)進行基本訪問操作,對所述操作進行時間標(biāo)記并存儲在所述TAT之內(nèi)。所述時間標(biāo)記與圖3的所述時間次序表中確認(rèn)的所述時間模式進行對比,以便檢驗是否匹配。因此,在圖4B中用戶1在時間102進行dir操作,然后在時間112進行exec操作。由于112在102之后,這個請求會在所述時間次序表中觸發(fā)對圖1中節(jié)點d,項目1042的匹配檢驗,所述請求會被拒絕。不過,在用戶3的情況下,在時間103進行所述exec操作,接著在時間111進行所述dir操作。這一對不符合所定義的時間次序,而允許所述操作。
在步驟612中,所述計算機系統(tǒng)進行判斷,進行所述請求之所述用戶的所述安全訪問級別是否低于所述指定信息類型當(dāng)前所需的所述最低安全訪問級別。這項判斷可以通過引用圖4A中所述表格而完成。如果所述用戶不具有至少當(dāng)前所需的所述最低安全訪問級別的授權(quán),那么就拒絕所述請求。反之,如果所述用戶確實具有足夠高的安全訪問級別,那么就在步驟616中準(zhǔn)許所述請求。
聚集節(jié)點112包括兩個或更多節(jié)點,它們可以是基本節(jié)點110、其他聚集節(jié)點112或者基本和聚集節(jié)點二者的組合。所以,與訪問組成基本節(jié)點110的成員信息類型和/或系統(tǒng)功能相比,這種聚集節(jié)點往往具有更高的所需最低安全級別才能允許訪問。這是真的,因為聚集的數(shù)據(jù)往往具有更加敏感的性質(zhì),由于它提供了更多的上下文,并且能夠識別所述多種單獨信息類型之間的關(guān)系。因此聚集的信息將不可避免地受到未授權(quán)用戶的更大關(guān)注,系統(tǒng)管理員將自然希望對其訪問施加更高級別的限制。
盡管如此,訪問與作為特定聚集節(jié)點中的成員的基本節(jié)點110相關(guān)聯(lián)的全部信息類型或系統(tǒng)功能,在許多情況下將認(rèn)同為等價于直接訪問所述聚集節(jié)點。所以,一旦某個特定用戶或過程已經(jīng)訪問了一定的信息類型,可能就需要提高所述用戶或過程訪問一定的其他信息類型的安全授權(quán)級別。例如,在兩個所述數(shù)據(jù)類型都是某個公共聚集節(jié)點的成員的這些情況下,這可能是真的。在這樣的情況下,可能需要把某個具體用戶訪問基本節(jié)點所需的所述安全授權(quán)級別提高到至少等于所述基本節(jié)點是其成員的聚集節(jié)點的所述安全授權(quán)級別。
所以,所述過程可以進至圖7的步驟702,識別包含著所請求之信息類型的所述基本節(jié)點是其成員的全部更高級別的聚集節(jié)點112。在步驟704中所述計算機系統(tǒng)可以判斷訪問所識別的聚集節(jié)點所需的所述最低安全級別是否高于所述具體用戶的授權(quán)安全訪問級別。如果是,那么在步驟706中所述計算機系統(tǒng)就可以識別也是該具體聚集節(jié)點中成員的全部基本節(jié)點。做到這一點可以通過例如從所述識別的聚集節(jié)點沿著全部路徑回到其對應(yīng)的全部基本節(jié)點。
一旦經(jīng)過如此識別,訪問已經(jīng)訪問過的所述信息類型的基本節(jié)點所需的所述最低安全級別保持不變。不過,在步驟708中可以更新所述用戶訪問其他所述成員基本節(jié)點(即不同于原始請求的基本節(jié)點)所需的所述最低安全級別。例如,假若某個具體用戶符合訪問聚集節(jié)點所需的所述最低安全級別,而某個成員基本節(jié)點是其成員,也可以提高訪問所述成員基本節(jié)點所需的所述最低安全級別。
通過考慮以下展示所述過程的實例,可以更好地理解本發(fā)明。
實例1參考圖1至圖8,考慮以下情況按照圖8A中的PUAT,為用戶1-5建立了訪問授權(quán)。具有訪問級別1的用戶2,U2(1)能夠請求訪問信息類型A的對象1021,正如過去關(guān)于步驟604的介紹。按照步驟606,所述系統(tǒng)引用圖8B中的所述TOS(時間次序表),并且判定所述訪問請求時間沒有完成時間訪問模式。隨后,在步驟610中把所述請求按原樣登錄在所述(時間訪問表)中。按照步驟612,對所述請求進行測試,以便判斷用戶2是否具有足夠高的訪問授權(quán)級別。在這種情況下U2(1)≥A(0),所以按照步驟616準(zhǔn)許訪問所請求的信息類型A。
隨后,在步驟702中所述計算機系統(tǒng)可以使用圖8C中的所述CCT(組合分類表),識別帶有對象A的聚集。在步驟704中,所述系統(tǒng)檢驗以便判斷訪問類型“a”的所述聚集節(jié)點1121所需的所述最低安全級別是否高于所述用戶的授權(quán)安全訪問級別。在這種情況下,由于所述用戶的授權(quán)安全訪問級別為1,而訪問類型“a”的聚集節(jié)點1121所需的所述最低級別等于2,所述條件滿足。所以,所述系統(tǒng)進至步驟706,識別類型“a”的聚集節(jié)點1121之部分的任何其他基本節(jié)點110。在這種情況下,所述系統(tǒng)識別出信息類型B為類型“a”之所述聚集中的成員。
隨后,在步驟708中,更新圖8A中的所述PUAT,使得(1)訪問所述原始請求的信息類型“A”之基本節(jié)點110所需的所述最低安全級別保持不變;(2)更新所述聚集節(jié)點1121的所述其他成員,使得其所需的最低安全級別提高到等于為所述聚集節(jié)點“a”建立的所需的所述最低安全級別。這可以表示如下如果PUAT(i)<CCT(i),那么CCT(i)→PUAT(i)。所述結(jié)果是更新后的PUAT表,如圖8D所示。
圖8D中所述更新后的表顯示出,對于信息類型A的所述基本節(jié)點110,所述最低安全訪問級別繼續(xù)為零。圖8D中對于信息類型A的所述記法0/1指明所述對象具有零安全級別,而且是用戶2訪問的第一個對象。不過,對于用戶2,在圖8D的所述PUAT中,訪問信息類型B之對象的所述最低安全級別已經(jīng)提高到級別2。
隨后,如果具有訪問級別1的用戶2,U2(1),請求訪問信息類型B的對象1022,所述系統(tǒng)將在步驟606中判定所述訪問請求時間沒有完成時間訪問模式。做到這一點是通過對比所述訪問時間和圖8E中的所述TOT。所述TOT沒有從圖8B中其早先的狀態(tài)改變,所以所述請求在步驟606中沒有受到拒絕。不過,在步驟612中,圖8D的所述更新后的PUAT的檢驗表明,對于用戶2訪問信息類型B所需的所述最低安全級別現(xiàn)在設(shè)定為級別2。所以,所述請求在步驟614中被拒絕。這可以表示為U2(1)≥A(2),所以拒絕訪問。
實例2參考圖1至圖9,考慮以下情況按照圖9A中的PUAT,為用戶1-5建立了訪問授權(quán)。具有訪問級別2的用戶3,U3(2)能夠請求訪問信息類型A的對象1021,正如過去關(guān)于步驟604的介紹。按照步驟606,所述系統(tǒng)引用圖9B中的所述TOS(時間次序表),并且判定所述訪問請求時間沒有完成時間訪問模式。隨后,在步驟610中把所述請求按原樣登錄。按照步驟612,對所述請求進行測試,以便判斷用戶3是否具有足夠高的訪問授權(quán)級別。在這種情況下U3(2)≥A(0),所以按照步驟616準(zhǔn)許訪問所請求的對象1022。
隨后,在步驟702中所述計算機系統(tǒng)可以使用圖9C中的所述CCT(組合分類表),識別帶有對象A的聚集。在步驟704中,所述系統(tǒng)檢驗以便判斷訪問類型“a”的所述聚集節(jié)點1121所需的所述最低安全級別是否高于用戶3的所述授權(quán)安全訪問級別。在這種情況下,由于所述用戶的授權(quán)安全訪問級別為2,而訪問聚集節(jié)點1121(即類型“a”)所需的所述最低級別等于2,所述條件不滿足。所以,所述系統(tǒng)得出結(jié)論,所述用戶具有足夠的安全訪問級別,并且進至步驟706,識別聚集節(jié)點1121之部分的任何其他基本節(jié)點110。在這種情況下,所述系統(tǒng)識別出1022(信息類型B)為所述聚集中的成員。
隨后,在步驟708中,更新圖9A中的所述PUAT,使得(1)訪問所述原始請求的基本節(jié)點110(信息類型“A”)所需的所述最低安全級別保持不變;(2)更新類型“a”之所述聚集節(jié)點1121的所述其他成員,使得其所需的最低安全級別提高到等于為類型“a”之所述聚集節(jié)點1121建立的所需的所述最低安全級別。這可以表示如下如果PUAT(i)<CCT(i),那么CCT(i)→PUAT(i)。所述結(jié)果是更新后的PUAT表,如圖9D所示。
圖9D中所述更新后的表顯示出,對于用戶3,對于信息類型A的所述基本節(jié)點1021,所述最低安全訪問級別繼續(xù)為零。圖9D中對于信息類型A的所述記法0/1指明所述對象具有零安全級別,而且是用戶3訪問的第一個信息類型。不過,在圖9D的所述PUAT中,訪問信息類型B之對象1022的所述最低安全級別已經(jīng)提高到級別2。
隨后,如果具有訪問級別2的用戶3,U3(2),請求訪問信息類型D的對象1024,所述計算機系統(tǒng)將在步驟606中判定所述訪問請求時間沒有完成時間訪問模式。做到這一點是通過對比所述訪問時間和圖9E中的所述TOT。所述TOT沒有從圖9B中其早先的狀態(tài)改變,所以所述請求在步驟606中沒有受到拒絕。在步驟612中,圖9D的所述更新后的PUAT的檢驗表明,對于用戶3訪問信息類型D所需的所述最低安全級別設(shè)定在級別2(如同在初始時)。所以,在步驟616中準(zhǔn)許所述請求。這可以表示為U3(2)≥D(2),所以準(zhǔn)許訪問。
隨后,在步驟702中所述計算機系統(tǒng)可以使用圖9F中的所述CCT(組合分類表),識別帶有信息類型D之所述對象的聚集。在這種情況下,節(jié)點1024(信息類型D)是類型“b”的聚集節(jié)點1122中的成員。在步驟704中,所述系統(tǒng)檢驗以便判斷訪問所述聚集節(jié)點1122所需的所述最低安全級別是否高于所述用戶的授權(quán)安全訪問級別。在這種情況下,由于所述用戶的授權(quán)安全訪問級別為2,而訪問類型“b”的聚集節(jié)點1122所需的所述最低級別等于3,所述條件滿足。所以,所述系統(tǒng)進至步驟706,識別類型“b”的聚集節(jié)點1122之部分的任何其他基本節(jié)點110。在這種情況下,所述系統(tǒng)識別出信息類型A和B(節(jié)點1021和1022)為類型“b”的節(jié)點1122之所述聚集中的成員。
隨后,在步驟708中,更新圖9D中的所述PUAT,使得(1)訪問所述原始請求的信息類型“D”的對象1024所需的所述最低安全級別保持不變;(2)更新類型“b”之所述聚集節(jié)點1122的所述其他成員,使得其所需的最低安全級別提高到等于為信息類型“b”之所述聚集節(jié)點1122建立的所需的所述最低安全級別。這可以表示如下如果PUAT(i)<CCT(i),那么CCT(i)→PUAT(i)。所述結(jié)果是更新后的PUAT表,如圖9G所示。
圖9G中所述更新后的表顯示出,對于信息類型D的所述基本節(jié)點1024,所述最低安全訪問級別繼續(xù)為二。圖9G中對于信息類型D的所述記法2/2指明所述對象1024具有2的安全級別,而且是用戶3訪問的第二個對象。不過,對于用戶3,在圖9G的所述PUAT中,訪問信息類型B之對象的所述最低安全級別已經(jīng)提高到級別3。
繼續(xù)進行上述實例,具有訪問級別2的用戶3,U3(2),可以請求訪問信息類型B的對象1022。如圖9H所示,所述訪問請求時間沒有完成時間訪問模式(步驟606)。不過在步驟612中,對用戶3的所述安全授權(quán)級別和圖9G中所述PUAT指定的、用戶3進行訪問所需的所述最低安全級別進行對比。這項測試表明,用戶3(安全授權(quán)級別2)不具有足夠高的安全級別以訪問信息類型B,它現(xiàn)在具有3的所需最低安全級別,至少對于用戶3的請求是如此。這可以表示為U3(2)≥B(3)。所以,進行訪問的所述請求在步驟614中被拒絕。
本文介紹的本發(fā)明的布局可以與各式各樣的計算機系統(tǒng)連同使用。它們可以包括獨立的計算機系統(tǒng)、計算機網(wǎng)絡(luò)或者如圖10所示的客戶-服務(wù)器布局。本發(fā)明可以被集成在計算機應(yīng)用軟件之內(nèi),或者實施為現(xiàn)有軟件系統(tǒng)的外部組件,以便提供模塊化可存取性。另外,本發(fā)明不限于與任何特定類型的軟件應(yīng)用程序和任何特定類型的實體發(fā)出的訪問請求一起使用。所以,按照用戶或過程發(fā)出的請求本文已經(jīng)介紹的本發(fā)明的范圍應(yīng)當(dāng)被本領(lǐng)域的技術(shù)人員理解為本文介紹的所述技術(shù)可以具有寬廣得多的應(yīng)用。例如,對于操作系統(tǒng)調(diào)用以及/或者識別遠(yuǎn)程訪問的不利模式,它們可能由計算機病毒和蠕蟲發(fā)起的。
再次參考圖10,應(yīng)當(dāng)認(rèn)同,本發(fā)明可以在一個計算機系統(tǒng)1000中以集中化方式在軟件中實現(xiàn),或者以分布方式實現(xiàn),不同的要素分散在幾個互連的計算機系統(tǒng)1000、1002中。適于進行本文介紹的所述方法的任何種類的計算機系統(tǒng)或其他裝置都適用。典型的實施可以包括通用計算機系統(tǒng),它帶有的計算機程序在加載和執(zhí)行時控制著所述計算機系統(tǒng),使得它進行本文介紹的所述方法。
本發(fā)明也可以嵌入在計算機程序產(chǎn)品中,它包括能夠?qū)嵤┍疚慕榻B的所述方法的全部特點,它在加載到計算機系統(tǒng)中時能夠進行這些方法。在本發(fā)明語境中計算機程序意味著意在使具有信息處理能力的系統(tǒng)執(zhí)行特定功能的指令集合以任何語言、代碼或符號的任何表達(dá),或者直接執(zhí)行,或者在以下二者或其一之后執(zhí)行a)轉(zhuǎn)換為另一種語言、代碼或符號;b)在不同的材料形式中再現(xiàn)。
權(quán)利要求
1.一種用于安全訪問計算機系統(tǒng)的方法,包括以下步驟在所述計算機系統(tǒng)中從具有預(yù)定的訪問級別的實體接收要對表示信息類型和計算機系統(tǒng)功能至少其中之一的第一基本節(jié)點進行訪問的請求;判斷所述訪問請求是否完成所述實體的禁止的時間訪問模式;以及對比為所述第一基本節(jié)點建立的最低訪問級別和所述預(yù)定訪問級別;以及只有在所述訪問請求沒有完成所述實體的禁止的時間訪問模式,而且所述第一基本節(jié)點的所述最低訪問級別不超過所述預(yù)定訪問級別時,才準(zhǔn)許所述訪問請求。
2.根據(jù)權(quán)利要求1的方法,進一步包括以下步驟如果所述訪問請求完成所述實體的禁止的時間訪問模式,就拒絕所述請求。
3.根據(jù)權(quán)利要求1的方法,進一步包括以下步驟如果所述第一基本節(jié)點的所述最低訪問級別超過了所述實體的所述預(yù)定訪問級別,就拒絕所述請求。
4.根據(jù)權(quán)利要求1的方法,進一步包括以下步驟把所述計算機系統(tǒng)邏輯地組織為具有多個葉節(jié)點和更高級別節(jié)點的樹狀層次的形式;把多個所述基本節(jié)點定義為各自包含所述樹狀層次的多個葉節(jié)點;以及把所述更高級別節(jié)點定義為所述基本節(jié)點的聚集。
5.根據(jù)權(quán)利要求1的方法,進一步包括以下步驟對比所述實體的預(yù)定訪問級別與作為包含所述第一基本節(jié)點的基本節(jié)點聚集的至少一個更高級別節(jié)點的所需的所述最低訪問級別;以及如果包含所述聚集的所述更高級別節(jié)點的所需的最低訪問級別具有高于所述實體的預(yù)定訪問級別的所需訪問級別,則對于也是包含所述第一基本節(jié)點的任何聚集的成員的任何所述基本節(jié)點,更新其所需的最低訪問級別。
6.一種安全的計算機系統(tǒng),包括多個邏輯基本節(jié)點,表示信息類型和計算機系統(tǒng)功能至少其中之一;多個更高級別的節(jié)點,以樹狀層次的形式與所述基本節(jié)點安排在一起;計算機系統(tǒng)接口,能夠從具有預(yù)定的訪問級別的實體接收要對第一基本節(jié)點進行訪問的請求;時間訪問表;處理裝置,編程為對比所述訪問請求和所述時間訪問表,以便判斷所述訪問請求是否完成了所述實體的禁止的時間訪問模式,以及對比為所述第一基本節(jié)點建立的最低訪問級別和所述預(yù)定訪問級別;以及只有在所述訪問請求沒有完成所述實體的禁止的時間訪問模式,而且所述第一基本節(jié)點的所述最低訪問級別不超過所述預(yù)定訪問級別時,所述處理裝置才準(zhǔn)許所述訪問請求。
7.根據(jù)權(quán)利要求6的安全計算機系統(tǒng),其特征在于,如果所述訪問請求完成所述實體的禁止的時間訪問模式,所述處理裝置就拒絕所述請求。
8.根據(jù)權(quán)利要求6的安全計算機系統(tǒng),其特征在于,如果所述第一基本節(jié)點的所述最低訪問級別超過了所述實體的所述預(yù)定訪問級別,所述處理裝置就拒絕所述請求。
9.根據(jù)權(quán)利要求6的安全計算機系統(tǒng),其特征在于,所述更高級別的節(jié)點是所述基本節(jié)點聚集。
10.根據(jù)權(quán)利要求6的安全計算機系統(tǒng),其特征在于,所述處理裝置對比所述實體的預(yù)定訪問級別與作為包含所述第一基本節(jié)點的基本節(jié)點聚集的至少一個更高級別節(jié)點的所需的所述最低訪問級別;以及如果包含所述聚集的所述更高級別節(jié)點的所需的最低訪問級別具有高于所述實體的預(yù)定訪問級別的所需訪問級別,對于也是包含所述第一基本節(jié)點的任何聚集的成員的任何所述基本節(jié)點,更新其所需的最低訪問級別。
全文摘要
公開了確保安全訪問計算機系統(tǒng)(1000)所用的方法和裝置。所述方法可以開始于在所述計算機系統(tǒng)中(使用1002)從某個實體接收請求的步驟。所述實體可以具有預(yù)定的訪問授權(quán)級別,用于對表示信息類型(102)或計算機系統(tǒng)功能(104)的第一基本節(jié)點(110)進行訪問。所述系統(tǒng)判斷所述訪問請求是否完成了所述實體的禁止的時間訪問模式。所述系統(tǒng)還對比為所述第一基本節(jié)點建立的最低訪問級別和分配給所述實體的所述預(yù)定訪問授權(quán)級別。然后,只有在所述第一基本節(jié)點的所述最低訪問級別不超過所述預(yù)定訪問授權(quán)級別時,所述系統(tǒng)才準(zhǔn)許所述訪問請求。
文檔編號G06F21/00GK1667544SQ200510054559
公開日2005年9月14日 申請日期2005年3月11日 優(yōu)先權(quán)日2004年3月11日
發(fā)明者小文森特·J.·科瓦里克 申請人:哈里公司