本公开涉及跨应用共享的授权策略对象、目标定义和决策合并算法。可以跨系统中的所有应用维护全局策略。全局策略模型可以利用消息应用编程接口(MAPI)来管理。定义全局策略,其包括由多个应用共享的规则。定义多个应用特定策略,其包括用于个体应用的规则。基于所述全局策略和第一应用特定策略判定第一应用是否被允许访问特定资源。基于所述全局策略和第二应用特定策略判定第二应用是否被允许访问所述特定资源。
【技术实现步骤摘要】
本专利技术的实施例总体上涉及计算机安全领域,更特别地,涉及能跨系统中的多个 应用共享的全局安全策略模型。
技术介绍
在许多情况下,企业具有一些在所有应用中强制的公共安全策略。如果这些策略 定义于每个应用范围内,则策略将会是冗余的且难以维护。 在计算机安全领域,一般访问控制包括授权(authorization)、认证 (authentication)、访问批准(access approval)、以及审计(audit)。访问控制涉及访问批 准,藉此计算机基于已经认证了的主体被授权访问什么来判定同意还是拒绝来自主体的访 问请求。认证和访问控制通常组合成单个操作,从而基于成功认证或者基于匿名访问令牌 (token)来批准访问。认证方法和令牌可包括密码、生物测定扫描、物理密钥、电子密钥和器 件、隐藏路径、社群壁鱼(social barrier)、以及通过人和自动化系统来监控。 在访问控制模型中,可执行系统中的动作的实体通常称为主体(sub ject),代表对 其的访问可能需要被控制的资源的实体通常称为对象(object)。主体和对象可以是软件实 体,而非人类用户。在一些模型(诸如对象-权能模型)中,软件实体有可能可以用作主体和 对象二者。对象可包括计算系统资源(这里简称为资源),诸如可执行应用程序(这里简称 为应用)、文件系统结构诸如文件和目录、通信端口、易失性存储片段等。 当前系统使用的访问控制模型可以基于权能(capability)或基于访问控制列表 (ACL)。在基于权能的模型中,保持不会忘记的对于对象的引用或权能提供了对于对象的访 问权(大致上类似于拥有房屋钥匙如何准许一个人进入其房屋);访问权通过在安全通道上 传输这样的权能而转移到另一方。在基于ACL的模型中,主体对于对象的访问权可以取决 于其身份是否在与对象相关联的列表上(大致上类似于私密方的保镖检查一个人的ID以 查看其名字是否在宾客列表中);访问权可通过编辑该列表而被转移。基于权能的模型和基 于ACL的模型二者都可包括允许访问权被授予给一组主体中的所有成员的机制。这样的组 本身可以模型化为一个主体。 访问控制系统可提供授权、识别和认证、访问批准以及追责(accountabi I ity )等 服务。授权包括规定主体允许执行的动作。识别和认证防止非法主体访问系统。访问批准 包括通过基于授权策略将用户与他们允许访问的资源相关联而在操作期间准许访问。追责 识别主体执行的动作。 授权可包括定义主体的访问权。授权策略可规定主体允许在系统内执行的操作。 一些操作系统将授权策略实施为权限(permission)的形式集合,其是三种基本访问类型的 变型或拓展。利用读访问,主体可以读取文件内容和列出目录内容。利用写访问,主体可以 通过增加数据到已有文件结构、创建新文件结构、删除已有文件结构或重命名已有文件结 构来改变文件或目录的内容。利用执行访问,主体可以使系统执行(运行)程序。这些权利 和权限可以在具有不同访问控制模型的系统中不同地实施。访问控制模型有时分类为自主 性或非自主性。一些广泛认可的模型包括自主访问控制(DAC)、强制访问控制(MAC)、基于 角色的访问控制(RBAC)以及基于属性的访问控制(ABAC)。 在基于属性的访问控制(ABAC)中,不一定基于与认证后的用户关联的主体的权利 来授予访问权,而是基于用户本身的属性。可以要求用户满足(对于访问控制引擎而言)关 于其属性的要求。基于属性的访问控制策略规定哪些要求需要被满足以授予对于对象的访 问权。例如,要求可以是大于18岁。在这样的情境下,可证实该要求的用户将被授予访 问权。在该模型中,用户可以是匿名的,因为不严格要求认证和识别。用于匿名地证实要求 的装置可以利用匿名证书实现。可扩展访问控制标记语言(XACML)是基于属性的访问控制 的标准。 自主访问控制(DAC)包括由对象的拥有者所确定的策略。该拥有者决定哪些用户 被允许访问该对象以及那些用户关于该对象具有什么特权。在基于DAC的系统中,系统中 的每个对象可具有拥有者。在一些基于DAC的系统中,每个对象的初始拥有者可以是使该 对象被创建的主体。对象的访问策略可以由该对象的拥有者确定。在基于DAC的系统中, 拥有者可以向诸如其他主体分配特定资源的访问权和权限。 强制访问控制(MAC)包括如果存在允许用户访问资源的规则,则允许该用户访问 该资源。基于MC的系统的管理在对象利用分级访问控制和/或通过敏感度标签的实施来 得到保护时可被简化。在使用敏感度标签的系统中,单独的敏感度标签可被分配给每个主 体和对象。主体的敏感度标签可规定其信任等级。对象的敏感度标签可规定访问该对象所 需的信任等级。如果主体的敏感度等级等于或大于该对象所要求的信任等级,则该主体被 允许访问该对象。基于MAC的系统可以使用基于规则的访问控制。基于规则的控制可包括 通过比较对象的敏感度标签和主体的敏感度标签来判定主体是应被授予还是应被拒绝对 于该对象的访问。 基于角色的访问控制(RBAC)可包括由对象位于其中的系统确定的访问策略。RBAC 系统可以是非自主性的,因为可以在系统级别对访问进行控制(通过系统管理员,而不是通 过对象的拥有者)。RBAC系统可以控制权限的集合。RBAC系统中的角色可以视为一组权 限。在RBAC系统中,如果主体已经被分配被允许访问资源的角色,则该主体可以访问该资 源。角色可以在层级中组合,在层级中,较高等级的角色包含低角色所拥有的权限。 难题可能出现在包括异构授权(或访问控制)环境的企业中。这种异构授权环境可 采用全异访问控制模型。例如,企业可能包括采用Java Platform Security (JPS)作为授 权环境的一些组件以及米用Oracle Access Manager (OAM)作为授权环境的另一些组件。 JPS提供的访问控制可以是应用特定的;这种访问控制可以由应用的设计者实施在那些应 用内,应用设计者通常对特定类型企业中的部署(通常是预期在企业范围使用RBAC模型的 部署)了熟于心。因此,应用设计者并入到其应用中的JPS访问控制可以是基于角色的。相 反,OAM提供的访问控制可以是企业范围的(通用的,而非对于任何特殊应用特定的),其在 应用部署时被规定而非在应用设计时被规定。OAM提供的访问控制能以基于DAC的模型为 基础,这允许委托策略管理。以单独且隔离的方式实施两种类型的系统可能是对系统资源 的浪费和重复劳动。
技术实现思路
这里公开了跨越所有应用维护全局策略的技术。这里公开一种全局策略模型。公 开了使用消息应用编程接口(MAPI)来管理全局策略模型的技术。在一实施例中,包括被多 个应用共享的规则的全局策略被定义。包括用于单独应用的规则的多个应用特定的策略被 定义。基于全局策略和第一应用特定策略来判定第一应用是否被允许访问特定资源。基于 全局策略和第二应用特定策略来判定第二应用是否被允许访问该特定资源。在一实施例 中,一种设备包括用于定义包括被多个应用共享的规则的全局策略的装置。该设备包括用 于定义包括用于单独应用的规则的多个应用特定策略的装置。该设备包本文档来自技高网...
【技术保护点】
一种计算机实施的方法,包括:定义全局策略,其包括由多个应用共享的规则;定义多个应用特定策略,其包括用于个体应用的规则;基于所述全局策略和第一应用特定策略判定第一应用是否被允许访问特定资源;以及基于所述全局策略和第二应用特定策略判定第二应用是否被允许访问所述特定资源。
【技术特征摘要】
1. 一种计算机实施的方法,包括: 定义全局策略,其包括由多个应用共享的规则; 定义多个应用特定策略,其包括用于个体应用的规则; 基于所述全局策略和第一应用特定策略判定第一应用是否被允许访问特定资源;W及 基于所述全局策略和第二应用特定策略判定第二应用是否被允许访问所述特定资源。2. 如权利要求1所述的计算机实施的方法,还包括: 响应于判定所述全局策略或所述第一应用特定策略不允许所述第一应用访问所述特 定资源,拒绝所述第一应用访问所述特定资源。3. 如权利要求1或2所述的计算机实施的方法,还包括: 响应于判定所述全局策略或所述第二应用特定策略不允许所述第二应用访问所述特 定资源,拒绝所述第二应用访问所述特定资源。4. 如权利要求1所述的计算机实施的方法,还包括: 响应于判定所述全局策略和所述第一应用特定策略二者都允许所述第一应用访问所 述特定资源,允许所述第一应用访问所述特定资源。5. 如权利要求1或4所述的计算机实施的方法,还包括: 响应于判定所述全局策略和所述第二应用特定策略二者都允许所述第二应用访问所 述特定资源,允许所述第二应用访问所述特定资源。6. -种设备,包括...
【专利技术属性】
技术研发人员:S·V·维帕,H·萨斯特里,曹玉龙,丁文芳,
申请(专利权)人:甲骨文国际公司,
类型:发明
国别省市:美国;US
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。